微软修复存在两年多的Azure Cosmos数据库漏洞

过去几个月,微软一直在努力应对网络安全方面的诸多考验。尽管该公司正在积极推动鼓励客户采用的零信任安全模型,但它自家的一些软件,却也被曝出一直向公共互联网敞开了数据访问的大门。比如早些时候,MicrosoftPowerApps门户中的默认配置,就被发现向外开放了3800万条记录,且其中不乏大

NetSmell 出品

  过去几个月,微软一直在努力应对网络安全方面的诸多考验。尽管该公司正在积极推动鼓励客户采用的零信任安全模型,但它自家的一些软件,却也被曝出一直向公共互联网敞开了数据访问的大门。比如早些时候,Microsoft Power Apps 门户中的默认配置,就被发现向外开放了 3800 万条记录,且其中不乏大量敏感信息。

  最新消息是,Azure 云服务中也存在类似的安全漏洞,并且多家财富 500 强客户都受到了 Cosmos DB 数据库漏洞的影响。

  安全公司 Wiz 详细披露了 ChaosDB 攻击,可知其能够通过 Azure Cosmos DB 中的默认配置触发。

  2019 年的时候,微软将 Jupyter Notebook 引入其中,并于 2021 年 2 月默认为所有客户启用。

  尴尬的是,由于此功能中存在配置错误,导致 Wiz 能够访问攻击向量、触发权限提升、破坏 Notebook 的容器,并且获得了对 Cosmos DB 托管的主密钥、以及 Notebook blob 存储访问令牌的访问权限。

  接着,攻击者可获得受害者账户托管的所有数据的管理员访问权限。在密钥泄露后,相关数据也可通过公共互联网进行操纵。

  Wiz 于 8 月 9 日发现了该漏洞,并于 8 月 12 日向微软通报。庆幸的是,这家雷德蒙德科技巨头在 48 小时后便禁用了 Cosmos DB 中的 Jupyter Notebook 。

  此外据路透社报道,微软已于今日完成了这个问题的修复,并开始向客户通知更换他们的私钥。该公司在邮件中称:

我们立即修复了该问题,以确保客户安全和受到保护,同时感谢安全研究人员的漏洞披露方面的协调帮助

[…] 目前没有迹象表明有研究人员(Wiz)之外的外部实体可访问主读写密钥。

  Wiz 警告称,即使微软已经完成了漏洞修补,客户也应该全面替换他们的密钥 —— 因为现有的密钥,仍可用于访问他们的数据。

  具体说来是,2021 年 2 月之后创建的每个 Cosmos DB 账户、或自推出以来使用 Jupyter Notebook 的每个账户,都会受到该漏洞的影响。

  最后,Wiz 因向官方披露了这个存在两年多的漏洞,而获得了微软的 40000 美元赏金。

显示余下内容
相关文章:
  1. Windows 11更新开始将“磁盘清理”功能转移到Storage Sense
  2. EA的新开放世界工作室可能叫Neon Black Studios
  3. 蹭上元宇宙,VR又活了?
  4. 改个名字反超台积电?Intel 2024年搞定2nm
  5. 通用汽车新软件平台Ultifi:将推出OTA、车内订阅乃至面部识别
  6. 红布林消费榜:LV被搜索次数超3300万,买卖二手奢侈品成“新型理财”
  7. 使用华为P50 Pro两周后,我们找到了这些超实用的小功能!
  8. Google Doodle致敬巴拿马裔美国护士Ildaura Murillo-Rohde
  9. TCL启动超200亿“旭日计划” 与合作伙伴共建产业生态
  10. 微博CEO王高飞给《王者荣耀》提建议:游戏时间限制权限高于家长没必要
 

发表评论

您的电子邮箱地址不会被公开。