Исключительно Microsoft предупреждает тысячи клиентов облачных вычислений об уязвимых базах данных

САН-ФРАНЦИСКО (Рейтер) — Microsoft (MSFT.O) В четверг тысячи клиентов облачных вычислений, в том числе некоторые из крупнейших мировых компаний, предупредили, что хакеры могут иметь возможность читать, изменять или даже удалять их основные базы данных, согласно расшифровке электронного письма и исследователю кибербезопасности.

Уязвимость находится в ведущей базе данных Cosmos DB в Microsoft Azure. Группа исследователей из охранной фирмы Wiz обнаружила, что ей удалось получить доступ к ключам, которые управляют доступом к базам данных, поддерживаемым тысячами компаний. Эми Латтвак, технический директор Wiz, в прошлом главный технический директор группы облачной безопасности Microsoft.

Поскольку Microsoft не может изменить эти ключи самостоятельно, в четверг она разослала клиентам электронное письмо с просьбой создать новые ключи. Согласно электронному письму, отправленному Wiz, Microsoft согласилась заплатить Wiz 40 000 долларов за обнаружение уязвимости и сообщение о ней.

«Мы немедленно устранили эту проблему, чтобы обеспечить безопасность и защиту наших клиентов, — заявила Microsoft Reuters. — Мы благодарим исследователей безопасности за работу по скоординированному обнаружению уязвимостей».

В электронном письме, которое Microsoft отправила клиентам, говорилось, что нет никаких доказательств использования уязвимости. «У нас нет никаких указаний на то, что внешние объекты вне Wiz имеют доступ к первичному ключу чтения и записи», — говорится в письме.

«Это наихудшая уязвимость в облаке, которую вы можете себе представить. Это давний секрет, — сказал Луттвак Reuters. — Это центральная база данных для Azure, и мы могли получить доступ к любой базе данных клиентов, которую хотели».

Латтвак сказал, что команда Латтвака обнаружила проблему, получившую название ChaosDB, 9 августа и сообщила о ней в Microsoft 12 августа.

Недостаток был в инструменте визуализации под названием Jupyter Notebook, который был доступен уже много лет, но по умолчанию включен в Cosmos, начиная с февраля. После того, как Reuters сообщили об ошибке, Wiz Детали дела В сообщении в блоге.

Латтвак сказал, что даже клиенты, которые не были уведомлены Microsoft, могут получить свои ключи от злоумышленников, предоставив им доступ до тех пор, пока эти ключи не будут изменены. Microsoft сообщила клиентам, чьи ключи появились только в этом месяце, когда Wiz работала над исправлением.

«Клиенты, которые могли быть затронуты, получили от нас уведомление», — сказала Microsoft Reuters, не вдаваясь в подробности.

Это открытие произошло после нескольких месяцев плохих новостей о безопасности для Microsoft. Компания была взломана тем же подозреваемым российским правительственным хакером, который проник в SolarWinds. Кто украл исходный код Microsoft. Затем большое количество хакеров взломали почтовые серверы Exchange во время разработки патча.

Дефект в принтере, из-за которого часто приходилось покупать компьютеры, приходилось ремонтировать. Еще один недостаток фондового рынка на прошлой неделе привел к появлению Срочное предупреждение от правительства США Клиентам необходимо установить патчи, выпущенные несколько месяцев назад, потому что теперь их используют банды вымогателей.

Проблемы Azure вызывают особую тревогу, потому что Microsoft и внешние эксперты по безопасности подталкивают компании отказаться от большей части своей инфраструктуры и полагаться на облако для большей безопасности.

Но, хотя облачные атаки редки, они могут быть еще более разрушительными, когда действительно происходят. Более того, некоторые из них никогда не анонсируются.

Исследовательская лаборатория, работающая по федеральному контракту, отслеживает все известные недостатки безопасности программного обеспечения и ранжирует их по степени серьезности. По словам Латтвака, не существует эквивалентной системы для устранения уязвимостей в облачной архитектуре, поэтому многие критические уязвимости остаются неизвестными пользователям.

Репортаж Джозефа Мэйна. Редакция Уильяма Малларда

Наши критерии: Принципы доверия Thomson Reuters.