W usługach chmurowych Microsoft Azure została odkryta poważna dziura. Dane ponad 3 tys. klientów były pozbawione ochrony. Dziura była obecna od 2019 r., ale wszystkich klientów objęła w lutym 2021 r.
Wadliwym elementem jest wizualizacji danych w bazie Cosmos DB. Odkrywcy tego błędu – eksperci zespołu formy Wiz twierdzą, że to najpoważniejsza dziura w bezpieczeństwie danych. Przez nią uwierzytelnianie dostępu do własnych danych był jednoznaczny z uwierzytelnieniem dostępu dla wszystkich.
Błąd powiązany był z wizualizatorem danych Jupyter Notebook. Możliwe było podniesienie uprawnień na kontenerze z notebookiem w taki sposób, by dostawać się do innych kontenerów lub zdobywać klucze do bazy. Tak zdobyte klucze mogły posłużyć do dostępu do przestrzeni zarządzania notebookami oraz do bazy danych. Wiz o tym odkryciu poinformował Redmond.
Microsoft po zgłoszeniu błędu ostrzegł klientów, a także dokonał analizy powłamaniowej na portalu MSRC i przedstawił z niej wnioski. Według firmy dziura nie została wykorzystana przez żadnych włamywaczy. A zespół badawczy, który wykrył błąd, otrzymał nagrodę 40 tysięcy dolarów w ramach programu Bug Bounty.
Część wadliwych funkcji została wyłączona. Azure informuje też klientów o rekomendacji rotowania kluczy.
Jednak zdarzenie pokazuje ryzyko związane z wynajmowanie, oprogramowania i infrastruktury.
Źródło: dobreprogramy.pl
