過去幾個月,微軟一直在努力應對網絡安全方面的諸多考驗。儘管該公司正在積極推動鼓勵客戶採用的零信任安全模型,但它自家的一些軟件,卻也被曝出一直向公共互聯網敞開了數據訪問的大門。比如早些時候,Microsoft Power Apps 門戶中的默認配置,就被發現向外開放了 3800 萬條記錄,且其中不乏大量敏感信息。
最新消息是,Azure 雲服務中也存在類似的安全漏洞,並且多家財富 500 強客戶都受到了 Cosmos DB 數據庫漏洞的影響。
安全公司 Wiz 詳細披露了 ChaosDB 攻擊,可知其能夠通過 Azure Cosmos DB 中的默認配置觸發。
2019 年的時候,微軟將 Jupyter Notebook 引入其中,並於 2021 年 2 月默認為所有客戶啟用。
尷尬的是,由於此功能中存在配置錯誤,導致 Wiz 能夠訪問攻擊向量、觸發權限提升、破壞 Notebook 的容器,並且獲得了對 Cosmos DB 託管的主密鑰、以及 Notebook blob 存儲訪問令牌的訪問權限。
接着,攻擊者可獲得受害者賬戶託管的所有數據的管理員訪問權限。在密鑰泄露后,相關數據也可通過公共互聯網進行操縱。
Wiz 於 8 月 9 日發現了該漏洞,並於 8 月 12 日向微軟通報。慶幸的是,這家雷德蒙德科技巨頭在 48 小時后便禁用了 Cosmos DB 中的 Jupyter Notebook 。
此外據路透社報道,微軟已於今日完成了這個問題的修復,並開始向客戶通知更換他們的私鑰。該公司在郵件中稱:
我們立即修復了該問題,以確保客戶安全和受到保護,同時感謝安全研究人員的漏洞披露方面的協調幫助
[…] 目前沒有跡象表明有研究人員(Wiz)之外的外部實體可訪問主讀寫密鑰。
Wiz 警告稱,即使微軟已經完成了漏洞修補,客戶也應該全面替換他們的密鑰 —— 因為現有的密鑰,仍可用於訪問他們的數據。
具體說來是,2021 年 2 月之後創建的每個 Cosmos DB 賬戶、或自推出以來使用 Jupyter Notebook 的每個賬戶,都會受到該漏洞的影響。
最後,Wiz 因向官方披露了這個存在兩年多的漏洞,而獲得了微軟的 40000 美元賞金。
相關文章:
微軟警告數千名雲服務客戶:數據庫或被暴露