微软Azure云平台上的旗舰Cosmos DB数据库爆出严重漏洞,攻击者能够窃取数千家企业云上数据库的访问密钥,从而读取、篡改甚至删除企业的主数据库;
由于微软官方无法自行更改这些密钥,只能向广大云上客户发布安全警告,要求尽快更新密钥。
根据相关邮件及一位网络安全研究人员的证实,微软本周四(8月26日)向包括全球多家巨头企业在内的云服务客户发布广泛警告,称入侵者或有能力读取、篡改甚至删除其主数据库。
这项漏洞来自Microsoft Azure平台上的旗舰Cosmos DB数据库。云安全厂商Wiz的研究团队发现,攻击者能够借此漏洞掌握数千家企业日常使用的数据库的访问密钥。这里还有一段故事,Wiz公司首席技术官Ami Luttwak正是微软云安全团队的前任首席技术官。
由于微软无法自行更改这些密钥,因此只能于周四向客户发出邮件,提醒他们尽快创建新密钥。根据Wiz收到的微软邮件,微软公司愿意为此项漏洞的发现与上报支付4万美元奖励。
微软在采访中证实,“我们立即修复了这个问题,确保我们的客户受到安全保护。我们也要感谢安全研究人员在漏洞披露方面提供的支持与协助。”
微软在写给客户的邮件中提到,并无证据证明此项漏洞已遭利用。“目前,没有迹象表明除Wiz研究人员之外的其他外部实体,能够访问数据库的主读写密钥。”
ChaosDB,史上最严重的云漏洞?
Luttwak在采访中表示,“这是我们所能想象到的最严重的云漏洞,也是个早已有之的潜在隐患。经由Azure中央数据库,我们能够访问任何客户的数据库。”
Luttwak的团队于8月9日发现了这项漏洞并将其定名为ChaosDB,随后于8月12日将问题上报给微软。
此项漏洞源自一款名为Jupyter Notebook的可视化工具。这款工具已经有多年历史,但从今年2月起才开始在Cosmos中默认启用。
Luttwak指出,即使是没有收到微软通知的客户,其密钥仍有可能遭到攻击者的窃取,因此请立即更改密钥以防遭到未授权访问。换言之,微软只是向那些他们认为可能受到影响的客户发出了警报。
微软则回应称,“可能受到影响的客户都已收到我们发布的通知”,但并未做出进一步解释。
微软近期频频曝出重大安全问题
就在几个月之前,微软才刚刚经历一轮安全危机的洗礼。曾经入侵SolarWinds的疑似俄罗斯政府支持黑客团伙再度出手,盗取大量微软产品源代码。而在发布补丁之后,仍有大批黑客成功闯入Exchange电子邮件服务器。
另外,微软最近发布的一个导致计算机被接管的打印机缺陷修复补丁也出现问题,需要回炉重造。上周,美国政府也就另一项Exchange漏洞向客户发布紧急警告,称已经有勒索软件团伙开始利用此项漏洞、呼吁各家客户马上安装几个月前就已发布的补丁。
但Azure上的问题尤其令人不安,毕竟微软及外部安全专家一直在催促企业客户放弃自有基础设施,依靠云环境提升业务安全性。
尽管云攻击确实较为罕见,然而一旦问题发生,引发的破坏性可能更强。更重要的是,不少攻击事件从未对外公开。
某家与联邦政府签约的研究实验室专门跟踪软件中的所有已知安全漏洞,并按严重程度对其进行评级。但Luttwak强调,目前还不存在针对云架构漏洞的同类系统,因此很多关键漏洞仍未向用户披露。
参考来源:https://www.reuters.com/technology/exclusive-microsoft-warns-thousands-cloud-customers-exposed-databases-emails-2021-08-26/
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。