Microsoft уведомила тысячи клиентов, среди которых многие компании списка Fortune 500, о крупной уязвимости во флагманской службе Azure Cosmos DB, открывавшей злоумышленникам свободный доступ к их базам данных. Копию письма получил Reuters.
Microsoft уведомила тысячи клиентов, среди которых многие компании списка Fortune 500, о крупной уязвимости во флагманской службе Azure Cosmos DB, открывавшей злоумышленникам свободный доступ к их базам данных. Копию письма получил Reuters.
Баг позволял хакерам читать, модифицировать и удалять данные облачных клиентов Microsoft. Проблему обнаружили эксперты ИБ-компании Wiz, техдиректор которой раньше занимал аналогичный пост в подразделении Microsoft, отвечающем за безопасность облачных систем. В качестве награды редмондская компания выделила им $40 тысяч.
Уязвимость была связана с ключами безопасности для управления доступом к клиентским базам данных. Microsoft попросила партнёров сменить ключи на случай, если старые попали в руки злоумышленников.
В рассылке клиентам Microsoft говорит, что баг обезврежен, а признаков его эксплуатации на практике не обнаружено.
Подробно о том, как Wiz нашла способ взломать клиентов Microsoft, рассказано в её корпблоге. Дыра была закрыта в течение 48 часов после того, как исследователи связались с разработчиками.
Уязвимость крылась в инструменте для визуализации Jupyter Notebook, который доступен уже многие годы, но активировался по умолчанию с этого февраля. Специалисты считают, что под угрозой могли оказаться не только те клиенты, которые пользуются инструментом или создали аккаунты Cosmos DB после февраля, и для перестраховки советуют обновить ключи всем пользователям Cosmos DB.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.