Clouddatabase-ramp: Microsoft informeert Azure-klanten over een ernstige lacune


Microsoft heeft donderdag enkele duizenden klanten van zijn Azure-cloudservice geïnformeerd over een ernstig beveiligingsprobleem waardoor onbevoegden volledige toegang konden krijgen tot de clouddatabases van de klanten. De kwetsbaarheid treft een van de belangrijkste producten van de clouddiensten, de multimodeldatabase CosmosDB. Volgens Microsoft is de maas in de wet nu gedicht, maar moeten getroffen klanten zelf actie ondernemen om ongeautoriseerde toegang te voorkomen. Dit meldt Reuters.

De IT-beveiligingsspecialist Ami Luttwak van het bedrijf Wiz heeft volgens het Reuters-rapport het beveiligingslek werd op 9 augustus ontdekt en drie dagen later aan Microsoft gemeld. Microsoft vertelde Reuters dat het bedrijf het probleem onmiddellijk heeft opgelost “zodat onze klanten veilig zijn”. Wij danken de beveiligingsonderzoekers voor hun werk in het kader van de gecoördineerde onthulling van de kwetsbaarheid. Microsoft mailde ook naar Wiz om te zeggen dat ze $ 40.000 wilden betalen voor het melden van de kwetsbaarheid.

Tot slot, op 26 augustus, stuurde Microsoft een e-mail naar enkele duizenden van zijn cloudklanten die door het probleem waren getroffen. In het nieuws dat Reuters heeft ontvangen, waarschuwt het bedrijf zijn klanten dat aanvallers de mogelijkheid hebben om alle belangrijke databases te lezen, te wijzigen en zelfs te verwijderen. Luttwak slaagde erin toegang te krijgen tot primaire sleutels met lees-schrijfautorisatie (primaire lees-schrijfsleutels), waardoor hij volledige toegang kreeg tot klantendatabases. Omdat Microsoft deze sleutels niet zelf kon wijzigen, vroeg het bedrijf zijn klanten om actie te ondernemen en de sleutels te vernieuwen. Hoewel het beveiligingsgat al is gedicht, moeten klanten met deze stap eindelijk een mogelijk compromitteren van de databases voorkomen. Microsoft schreef in het bericht dat het geen bewijs had gevonden dat derden (met uitzondering van Wiz) toegang hadden gekregen tot de sleutels.

Luttwak vertelde Reuters dat dit de ergste cloudkwetsbaarheid was die je je kunt voorstellen. CosmosDB is de centrale database van Azure en het Wiz-team had toegang tot elke gewenste klantendatabase. Er zijn ook tal van grote, wereldwijde bedrijven onder Azure-klanten. Luttwak, CTO bij Wiz, was voorheen CTO bij Microsoft’s Cloud Security Group.

In een blogpost Luttwak beschrijft zijn ontdekking van de kwetsbaarheid in detail, die hij “ChaosDB” noemde. Het daadwerkelijke beveiligingslek zit in Jupyter Notebook, een al lang bekende tool voor datavisualisatie, die Microsoft heeft geïntegreerd in CosmosDB en standaard geactiveerd in februari van dit jaar.

Luttwak bekritiseerde de waarschuwingen van Microsoft aan zijn klanten met betrekking tot Reuters: het bedrijf schreef alleen klanten wiens kwetsbare sleutels zichtbaar waren in dezelfde maand waarin Wiz het probleem ontdekte en onderzocht. Vanwege de lange duur waarin het beveiligingslek toegankelijk was, konden aanvallers echter sleutels van veel meer klanten zien – en Microsoft heeft deze klanten niet geïnformeerd. Desgevraagd vertelde Microsoft Reuters alleen dat mogelijk getroffen klanten op de hoogte waren, maar legde de verklaring niet verder uit.

Microsoft had dit jaar al te kampen met zwakke punten en mazen in de wet. In januari werd bekend dat aanvallers tot diep in het interne netwerk van Microsoft binnendrongen via kwetsbaarheden bij serviceprovider SolarWinds. Kan de broncode zien. tevens de Printerbeheer onder Windows heeft verschillende kritieke kwetsbaarheden waartegen bestuurders moeten optreden.


(tiw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: