Тысячи корпоративных клиентов Microsoft оказались под угрозой из-за бреши в облачном сервисе

Баг позволял хакерам читать, модифицировать и удалять данные облачных клиентов Microsoft. Проблему обнаружили эксперты ИБ-компании Wiz, техдиректор которой раньше занимал аналогичный пост в подразделении Microsoft, отвечающем за безопасность облачных систем. В качестве награды редмондская компания выделила им $40 тысяч.

Уязвимость была связана с ключами безопасности для управления доступом к клиентским базам данных. Microsoft попросила партнёров сменить ключи на случай, если старые попали в руки злоумышленников.

В рассылке клиентам Microsoft говорит, что баг обезврежен, а признаков его эксплуатации на практике не обнаружено.

Подробно о том, как Wiz нашла способ взломать клиентов Microsoft, рассказано в её корпблоге. Дыра была закрыта в течение 48 часов после того, как исследователи связались с разработчиками.

Уязвимость крылась в инструменте для визуализации Jupyter Notebook, который доступен уже многие годы, но активировался по умолчанию с этого февраля. Специалисты считают, что под угрозой могли оказаться не только те клиенты, которые пользуются инструментом или создали аккаунты Cosmos DB после февраля, и для перестраховки советуют обновить ключи всем пользователям Cosmos DB.