Microsoft heeft duizenden van zijn Azure cloud computing-klanten, waaronder veel Fortune 500-bedrijven, gewaarschuwd voor een kwetsbaarheid waardoor hun gegevens de afgelopen twee jaar volledig zijn blootgelegd.
Door een fout in het Azure Cosmos DB-databaseproduct van Microsoft stonden meer dan 3.300 Azure-klanten open voor onbeperkte toegang door aanvallers. Het beveiligingslek werd geïntroduceerd in 2019 toen Microsoft een functie voor gegevensvisualisatie met de naam Jupyter Notebook aan Cosmos DB toevoegde. De functie was standaard ingeschakeld voor alle Cosmos DB's in februari 2021.
Een lijst van Azure Cosmos DB-clients omvat bedrijven zoals Coca Cola, Liberty Mutual Insurance, ExxonMobil en Walgreens, om noem er maar een paar.
We kregen toegang tot elke klantendatabase die we wilden
“Dit is de ergste kwetsbaarheid in de cloud die je je kunt voorstellen”, zegt Ami Luttwak, Chief Technology Officer van Wiz, het beveiligingsbedrijf dat het probleem ontdekte. . “Dit is de centrale database van Azure en we konden toegang krijgen tot elke klantendatabase die we wilden.”
Ondanks de ernst en het risico heeft Microsoft geen enkel bewijs gezien van de kwetsbaarheid die leidt tot illegale toegang tot gegevens. “Er is geen bewijs dat deze techniek wordt misbruikt door kwaadwillende actoren”, zei Microsoft in een verklaring per e-mail aan Bloomberg. “We zijn niet op de hoogte van de toegang tot klantgegevens vanwege dit beveiligingslek.” Microsoft betaalde Wiz $ 40.000 voor de ontdekking, volgens Reuters.
In een gedetailleerde blogpost zegt Wiz dat de door Jupyter Notebook geïntroduceerde kwetsbaarheid de onderzoekers van het bedrijf toegang gaf tot de primaire sleutels die de Cosmos DB-databases voor Microsoft-klanten beveiligden. Met die sleutels had Wiz volledige lees-/schrijf-/wistoegang tot de gegevens van enkele duizenden Microsoft Azure-klanten.
Wiz zegt dat het het probleem twee weken geleden heeft ontdekt en dat Microsoft het beveiligingslek binnen 48 uur nadat Wiz het had gemeld, heeft uitgeschakeld. Microsoft kan de primaire toegangssleutels van zijn klanten echter niet wijzigen. Daarom heeft het bedrijf Cosmos DB-klanten een e-mail gestuurd om hun sleutels handmatig te wijzigen om de blootstelling te beperken.
Het probleem van vandaag is gewoon de nieuwste beveiligingsnachtmerrie voor Microsoft. Het bedrijf had eind december een deel van de broncode gestolen door hackers van SolarWinds, de Exchange-e-mailservers werden in maart geschonden en betrokken bij ransomware-aanvallen, en een recente printerfout stelde aanvallers in staat computers over te nemen met systeemrechten. Maar nu de gegevens van de wereld steeds meer worden verplaatst naar gecentraliseerde cloudservices zoals Azure, zou de onthulling van vandaag wel eens de meest verontrustende ontwikkeling kunnen zijn voor Microsoft tot nu toe.