Тысячи корпоративных клиентов Microsoft оказались под угрозой из-за бреши в облачном сервисе

Microsoft уведомила тысячи клиентов, среди которых многие компании списка Fortune 500, о крупной уязвимости во флагманской службе Azure Cosmos DB, открывавшей злоумышленникам свободный доступ к их базам данных. Копию письма получил Reuters.

Оставить комментарий
Тысячи корпоративных клиентов Microsoft оказались под угрозой из-за бреши в облачном сервисе

Microsoft уведомила тысячи клиентов, среди которых многие компании списка Fortune 500, о крупной уязвимости во флагманской службе Azure Cosmos DB, открывавшей злоумышленникам свободный доступ к их базам данных. Копию письма получил Reuters.

Баг позволял хакерам читать, модифицировать и удалять данные облачных клиентов Microsoft. Проблему обнаружили эксперты ИБ-компании Wiz, техдиректор которой раньше занимал аналогичный пост в подразделении Microsoft, отвечающем за безопасность облачных систем. В качестве награды редмондская компания выделила им $40 тысяч.

Уязвимость была связана с ключами безопасности для управления доступом к клиентским базам данных. Microsoft попросила партнёров сменить ключи на случай, если старые попали в руки злоумышленников.

В рассылке клиентам Microsoft говорит, что баг обезврежен, а признаков его эксплуатации на практике не обнаружено.

Подробно о том, как Wiz нашла способ взломать клиентов Microsoft, рассказано в её корпблоге. Дыра была закрыта в течение 48 часов после того, как исследователи связались с разработчиками.

Уязвимость крылась в инструменте для визуализации Jupyter Notebook, который доступен уже многие годы, но активировался по умолчанию с этого февраля. Специалисты считают, что под угрозой могли оказаться не только те клиенты, которые пользуются инструментом или создали аккаунты Cosmos DB после февраля, и для перестраховки советуют обновить ключи всем пользователям Cosmos DB.

Президент Microsoft назвал атаку на SolarWinds самой крупной и изощрённой в истории
Президент Microsoft назвал атаку на SolarWinds самой крупной и изощрённой в истории
По теме
Президент Microsoft назвал атаку на SolarWinds самой крупной и изощрённой в истории
Программирование придумали женщины?

Читайте в блогах краткий экскурс в историю IT-индустрии.

Подписывайтесь на «Что к чему» —
анамнез и главные симптомы беларуского ИТ.
Цифры, графика, ничего лишнего. Выходит раз в 2 недели.
Спасибо! На указанный адрес отправлено письмо для подтверждения подписки.
Читайте также
Sony не может договориться с Microsoft о продлении выпуска Call of Duty на PlayStation
Sony не может договориться с Microsoft о продлении выпуска Call of Duty на PlayStation
Sony не может договориться с Microsoft о продлении выпуска Call of Duty на PlayStation
Microsoft запустила обучающий сайт по Java
Microsoft запустила обучающий сайт по Java
Microsoft запустила обучающий сайт по Java
Google, Apple, Microsoft постепенно выносят производство из Китая
Google, Apple, Microsoft постепенно выносят производство из Китая
Google, Apple, Microsoft постепенно выносят производство из Китая
2 комментария
Топ-10 компаний, в которых хотят работать студенты-айтишники
Топ-10 компаний, в которых хотят работать студенты-айтишники
Топ-10 компаний, в которых хотят работать студенты-айтишники

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.