Microsoft ha avvertito migliaia dei suoi clienti di cloud computing di Azure, tra cui molte aziende Fortune 500, di una vulnerabilità che ha lasciato i loro dati completamente esposti negli ultimi due anni.
Un difetto nel prodotto database Azure Cosmos DB di Microsoft ha lasciato più di 3.300 clienti Azure aperti per completare l'accesso senza restrizioni da parte degli aggressori. La vulnerabilità è stata introdotta nel 2019 quando Microsoft ha aggiunto a Cosmos DB una funzionalità di visualizzazione dei dati denominata Jupyter Notebook. La funzionalità è stata attivata per impostazione predefinita per tutti i Cosmos DB nel febbraio 2021.
Un elenco di clienti Azure Cosmos DB include aziende come Coca Cola, Liberty Mutual Insurance, ExxonMobil e Walgreens, per nominarne solo alcuni.
Siamo stati in grado di accedere a qualsiasi database dei clienti che volevamo
“Questa è la peggiore vulnerabilità cloud che si possa immaginare”, ha affermato Ami Luttwak, Chief Technology Officer di Wiz, la società di sicurezza che ha scoperto il problema . “Questo è il database centrale di Azure e siamo stati in grado di accedere a qualsiasi database dei clienti che volevamo.”
Nonostante la gravità e il rischio presentati, Microsoft non ha riscontrato alcuna prova della vulnerabilità che porta all'accesso illecito ai dati. “Non ci sono prove che questa tecnica venga sfruttata da attori malintenzionati”, ha detto Microsoft a Bloomberg in una dichiarazione via e-mail. “Non siamo a conoscenza di alcun accesso ai dati dei clienti a causa di questa vulnerabilità”. Microsoft ha pagato a Wiz $ 40.000 per la scoperta, secondo Reuters.
In un post dettagliato sul blog, Wiz afferma che la vulnerabilità introdotta da Jupyter Notebook ha consentito ai ricercatori dell'azienda di accedere alle chiavi primarie che proteggevano i database Cosmos DB per i clienti Microsoft. Con dette chiavi, Wiz aveva accesso completo in lettura/scrittura/cancellazione ai dati di diverse migliaia di clienti Microsoft Azure.
Wiz afferma di aver scoperto il problema due settimane fa e che Microsoft ha disabilitato la vulnerabilità entro 48 ore dalla segnalazione di Wiz. Tuttavia, Microsoft non può modificare le chiavi di accesso primarie dei suoi clienti, motivo per cui l'azienda ha inviato un'e-mail ai clienti di Cosmos DB per modificare manualmente le loro chiavi al fine di mitigare l'esposizione.
Il problema di oggi è solo l'ultimo incubo della sicurezza per Microsoft. La società ha subito il furto di parte del codice sorgente dagli hacker di SolarWinds alla fine di dicembre, i suoi server di posta Exchange sono stati violati e implicati in attacchi ransomware a marzo e un recente difetto della stampante ha consentito agli aggressori di impossessarsi di computer con privilegi a livello di sistema. Ma con i dati di tutto il mondo che si spostano sempre più verso servizi cloud centralizzati come Azure, la rivelazione di oggi potrebbe essere lo sviluppo più preoccupante mai fatto per Microsoft.