Microsoft meldet Hack des Cloud-Dienstes Azure: "Das Schlimmste, was man sich vorstellen kann
Microsoft hat Tausende seiner Azure-Cloud-Kunden, darunter viele Fortune-500-Unternehmen, vor einer Sicherheitslücke gewarnt, durch die ihre -Daten in den letzten zwei Jahren völlig ungeschützt waren.
Durch eine Schwachstelle im Code von Microsofts Azure Cosmos DB sind mehr als 3.300 Azure-Kunden für Angreifer uneingeschränkt zugänglich. Die Schwachstelle tauchte 2019 auf, als Microsoft eine Datenvisualisierungsfunktion namens Jupyter Notebook zu Cosmos DB hinzufügte. Die Funktion wurde im Februar 2021 standardmäßig für alle Cosmos-DBs aktiviert.
Azure Cosmos DB Kundenliste umfasst Unternehmen wie Coca Cola, Liberty Mutual Insurance, ExxonMobil, Walgreens und andere.
"Das ist die schlimmste Cloud-Schwachstelle, die man sich vorstellen kann", sagt Ami Luttwak, CTO von Wiz, dem Sicherheitsunternehmen, das das Problem entdeckt hat. "Es ist eine zentrale Azure-Datenbank, und wir konnten auf jede beliebige Kundendatenbank zugreifen."
Trotz der Schwere und des Risikos hat Microsoft keine Beweise dafür gefunden, dass die Sicherheitslücke zu einem illegalen Zugriff auf die Daten geführt hat. "Es gibt keine Beweise dafür, dass diese Technik von Angreifern verwendet wurde", so Microsoft in einer Erklärung , die von Bloomberg an gemailt wurde. "Uns sind keine Fälle bekannt, in denen aufgrund dieser Sicherheitslücke auf Kundendaten zugegriffen wurde.
Laut Reuters zahlte Microsoft Wiz 40.000 Dollar für die Entdeckung.
In einem ausführlichen Beitrag auf dem Blog von Wiz heißt es, dass die im Jupyter-Notebook eingeführte Schwachstelle es den Forschern des Unternehmens ermöglicht hat, auf die Primärschlüssel zuzugreifen, die die Cosmos DB-Datenbanken für Microsoft-Kunden sichern. Mit diesen Schlüsseln verschaffte sich Wiz vollen Lese-/Schreib-/Löschzugriff auf die Daten von mehreren tausend Microsoft Azure-Kunden.
