過去幾個月�����,微軟一直在努力應(yīng)對網(wǎng)絡(luò)安全方面的諸多考驗�。盡管該公司正在積極推動鼓勵客戶采用的零信任安全模型����,但它自家的一些軟件,卻也被曝出一直向公共互聯(lián)網(wǎng)敞開了數(shù)據(jù)訪問的大門��。比如早些時候����,Microsoft Power Apps 門戶中的默認(rèn)配置���,就被發(fā)現(xiàn)向外開放了 3800 萬條記錄���,且其中不乏大量敏感信息���。
最新消息是,Azure 云服務(wù)中也存在類似的安全漏洞����,并且多家財富 500 強客戶都受到了 Cosmos DB 數(shù)據(jù)庫漏洞的影響。
安全公司 Wiz 詳細(xì)披露了 ChaosDB 攻擊��,可知其能夠通過 Azure Cosmos DB 中的默認(rèn)配置觸發(fā)�。
2019 年的時候����,微軟將 Jupyter Notebook 引入其中,并于 2021 年 2 月默認(rèn)為所有客戶啟用�����。
尷尬的是��,由于此功能中存在配置錯誤����,導(dǎo)致 Wiz 能夠訪問攻擊向量、觸發(fā)權(quán)限提升�、破壞 Notebook 的容器�����,并且獲得了對 Cosmos DB 托管的主密鑰�、以及 Notebook blob 存儲訪問令牌的訪問權(quán)限�。
接著,攻擊者可獲得受害者賬戶托管的所有數(shù)據(jù)的管理員訪問權(quán)限���。在密鑰泄露后,相關(guān)數(shù)據(jù)也可通過公共互聯(lián)網(wǎng)進行操縱�。
Wiz 于 8 月 9 日發(fā)現(xiàn)了該漏洞,并于 8 月 12 日向微軟通報�。慶幸的是,這家雷德蒙德科技巨頭在 48 小時后便禁用了 Cosmos DB 中的 Jupyter Notebook ��。
此外據(jù)路透社報道�����,微軟已于今日完成了這個問題的修復(fù)�����,并開始向客戶通知更換他們的私鑰��。該公司在郵件中稱:
我們立即修復(fù)了該問題�,以確保客戶安全和受到保護����,同時感謝安全研究人員的漏洞披露方面的協(xié)調(diào)幫助
目前沒有跡象表明有研究人員(Wiz)之外的外部實體可訪問主讀寫密鑰。
Wiz 警告稱�,即使微軟已經(jīng)完成了漏洞修補,客戶也應(yīng)該全面替換他們的密鑰 —— 因為現(xiàn)有的密鑰��,仍可用于訪問他們的數(shù)據(jù)����。
具體說來是,2021 年 2 月之后創(chuàng)建的每個 Cosmos DB 賬戶�、或自推出以來使用 Jupyter Notebook 的每個賬戶,都會受到該漏洞的影響����。
最后,Wiz 因向官方披露了這個存在兩年多的漏洞���,而獲得了微軟的 40000 美元賞金。
(邯鄲小程序開發(fā))
