一家安全公司发现了一个允许他们访问大量 Microsoft Azure 云服务客户数据的问题,他们说这是“你能想象到的最严重的云漏洞”。 微软表示,它不知道该安全漏洞已被恶意行为者利用。
发现该漏洞的公司能够访问数据库,他们不仅可以查看内容,还可以更改和删除 Cosmos 数据库中的信息。
安全公司 Wiz 的一个研究团队发现,他们能够访问控制对数千家公司数据库的访问的密钥。 Wiz 的首席技术官 Ami Luttwak 是微软云安全团队的前任经理,因此他在发现漏洞时也发挥了优势。
为了访问 Cosmos 数据库,安全公司首先获得了对客户数据库主键的访问权限。 应该记住,在 2019 年,微软在 Cosmos 数据库中添加了一项名为 Jupyter Notebook 的功能,允许客户可视化他们的数据并创建自定义视图。 该功能已于 2021 年 2 月自动为所有 Cosmos 数据库启用。
Wiz 提醒我们,使用这个 Cosmos 数据库的一些公司是可口可乐、埃克森美孚和思杰等巨头,从这个服务自己的官方网站上可以看到。
Microsoft 无法更改这些密钥
由于微软自己无法更改这些密钥,因此周四它向客户发送了一封电子邮件,告诉他们创建新密钥。 微软已同意向 Wiz 支付 40,000 美元用于发现错误并报告它。 微软官方尚未就安全问题发表进一步评论。
在微软发送给 Wiz 的一封电子邮件中,该公司表示已经修复了该漏洞,并且没有证据表明该漏洞已被利用。 “我们没有迹象表明研究人员 (Wiz) 之外的外部实体可以访问主读写密钥,”邮件说。
“这是你能想象到的最严重的云漏洞。 这是一个长久的秘密,”Wiz 首席技术官 Ami Luttwak 说。 “这是 Azure 的中央数据库,我们能够访问我们想要的任何客户数据库,”他补充道。