Vijesti o Tehnologiji, Recenzije i Savjeti!

Sigurnosna tvrtka otkrila je najgoru ranjivost oblaka koju možete zamisliti u Microsoft Azureu

Sigurnosna tvrtka otkrila je problem koji im je omogućio pristup velikoj količini podataka korisnika Microsoft Azure usluga u oblaku, rekli su da je to “najgora ranjivost u oblaku koju možete zamisliti.” Microsoft navodi da nije svjestan da su zlonamjerni akteri iskoristili sigurnosni propust.

Tvrtka koja je otkrila grešku mogla je pristupiti bazama podataka i imali su mogućnost ne samo pregledavanja sadržaja, već i promjene i brisanja informacija iz baze podataka Cosmos.

Istraživački tim sigurnosne tvrtke Wiz otkrio je da su uspjeli pristupiti ključevima koji kontroliraju pristup bazama podataka tisuća tvrtki. Wizov glavni tehnološki direktor, Ami Luttwak, bivši je menadžer unutar Microsoftove grupe za sigurnost u oblaku, pa je i on bio u prednosti kada je trebalo otkriti propust.

Da bi došla do baze podataka Cosmos, sigurnosna tvrtka prvo je dobila pristup primarnim ključevima baze podataka o klijentima. Treba imati na umu da je Microsoft 2019. dodao značajku pod nazivom Jupyter Notebook u bazu podataka Cosmos koja korisnicima omogućuje vizualizaciju svojih podataka i stvaranje prilagođenih pogleda. Značajka je automatski omogućena za sve baze podataka Cosmos u veljači 2021.

Wiz nas podsjeća da su neke od kompanija koje koriste ovu Cosmos bazu podataka divovi kao što su Coca-Cola, Exxon-Mobil i Citrix, kao što se može vidjeti na službenoj web stranici ove usluge.

Microsoft ne može promijeniti ove ključeve

Budući da Microsoft ne može sam promijeniti te ključeve, u četvrtak je poslao e-mail korisnicima u kojem im je rekao da kreiraju nove. Microsoft je pristao platiti Wizu 40.000 dolara za pronalazak greške i prijavu iste. Dužnosnici Microsofta nisu dalje komentirali sigurnosni problem.

U e-poruci koju je Microsoft poslao Wizu, tvrtka kaže da je popravila ranjivost i da nema dokaza da je greška iskorištena. “Nemamo naznaka da su vanjski entiteti izvan istraživača (Wiz) imali pristup primarnom ključu za čitanje i pisanje”, stoji u poruci.

“Ovo je najgora ranjivost oblaka koju možete zamisliti. To je dugotrajna tajna,” izjavio je glavni tehnološki direktor Wiza Ami Luttwak. “Ovo je središnja baza podataka Azurea i mogli smo dobiti pristup bilo kojoj bazi podataka o klijentima koju smo htjeli”, dodaje.