Microsoft cảnh báo hơn 10.000 khách hàng có cơ sở dữ liệu điện toán đám mây của mình sẽ bị lộ, bao gồm một số công ty lớn nhất thế giới, những kẻ xâm nhập có thể có khả năng đọc, thay đổi hoặc thậm chí xóa cơ sở dữ liệu chính của họ, theo một bản sao của email và một nhà nghiên cứu an ninh mạng.
Lỗ hổng nằm trong cơ sở dữ liệu Cosmos DB hàng đầu của Microsoft Azure. Một nhóm nghiên cứu tại công ty bảo mật Wiz đã phát hiện ra rằng họ có thể truy cập các khóa kiểm soát quyền truy cập vào cơ sở dữ liệu do hàng ngàn công ty nắm giữ. Giám đốc công nghệ Của Wiz Ami Luttwak là cựu giám đốc công nghệ tại Tập đoàn Bảo mật Đám mây của Microsoft.
Bởi vì Microsoft không thể tự thay đổi các khóa đó, họ đã gửi email cho khách hàng hôm thứ Năm yêu cầu họ tạo ra các khóa mới. Microsoft đã đồng ý trả cho Wiz 40.000 USD để tìm ra lỗ hổng và báo cáo nó, theo một email mà họ gửi đến Wiz.
“Chúng tôi đã khắc phục vấn đề này ngay lập tức để giữ cho khách hàng của chúng tôi an toàn và được bảo vệ. Chúng tôi cảm ơn các nhà nghiên cứu bảo mật đã làm việc dưới sự tiết lộ lỗ hổng phối hợp”, Microsoft nói.
Email của Microsoft gửi cho khách hàng cho biết không có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác. “Chúng tôi không có dấu hiệu nào cho thấy các thực thể bên ngoài nhà nghiên cứu (Wiz) có quyền truy cập vào khóa đọc-viết chính”, email cho biết.
“Đây là lỗ hổng đám mây tồi tệ nhất mà bạn có thể tưởng tượng. Đó là một bí mật lâu dài”, ông Luttwak nói. “Đây là cơ sở dữ liệu trung tâm của Azure và chúng tôi đã có thể truy cập vào bất kỳ cơ sở dữ liệu khách hàng nào mà chúng tôi muốn.”
Nhóm của Luttwak đã tìm thấy vấn đề, được đặt tên là ChaosDB, vào ngày 9 tháng 8 và thông báo cho Microsoft vào ngày 12 tháng 8, Luttwak nói.
Lỗ hổng này nằm trong một công cụ trực quan hóa có tên Jupyter Notebook, đã có sẵn trong nhiều năm nhưng đã được kích hoạt theo mặc định trong Cosmos bắt đầu vào tháng Hai. Sau khi có báo cáo về lỗ hổng, Wiz đã nêu chi tiết vấn đề trong một bài đăng trên blog.
Luttwak cho biết ngay cả những khách hàng chưa được Microsoft thông báo cũng có thể bị kẻ tấn công vuốt khóa, cho phép họ truy cập cho đến khi các khóa đó được thay đổi. Microsoft chỉ nói với khách hàng có khóa hiển thị trong tháng này, khi Wiz đang làm việc về vấn đề này.
Microsoft nói rằng “những khách hàng có thể đã bị ảnh hưởng đã nhận được thông báo từ chúng tôi”, nhưng không giải thích chi tiết.
Tiết lộ này được đưa ra sau nhiều tháng tin tức bảo mật xấu cho Microsoft. Công ty đã bị tấn công bởi cùng một tin tặc chính phủ Nga bị nghi ngờ xâm nhập vào SolarWinds, người đã đánh cắp mã nguồn của Microsoft. Sau đó, một số lượng lớn tin tặc đã đột nhập vào các máy chủ email Exchange trong khi một bản vá đang được phát triển.
Một bản sửa lỗi gần đây cho một lỗ hổng máy in cho phép tiếp quản máy tính phải được làm lại nhiều lần. Một lỗ hổng exchange khác vào tuần trước đã khiến chính phủ Hoa Kỳ cảnh báo khẩn cấp rằng khách hàng cần cài đặt các bản vá lỗi được phát hành vài tháng trước vì các băng đảng ransomware hiện đang khai thác nó.
Các vấn đề với Azure đặc biệt đáng lo ngại, bởi vì Microsoft và các chuyên gia bảo mật bên ngoài đã thúc đẩy các công ty từ bỏ hầu hết cơ sở hạ tầng của riêng họ và dựa vào đám mây để bảo mật hơn.
Nhưng mặc dù các cuộc tấn công đám mây hiếm hơn, chúng có thể tàn phá hơn khi chúng xảy ra. Hơn nữa, một số không bao giờ được công khai.
Một phòng thí nghiệm nghiên cứu được liên bang ký hợp đồng theo dõi tất cả các lỗ hổng bảo mật đã biết trong phần mềm và đánh giá chúng theo mức độ nghiêm trọng. Nhưng không có hệ thống tương đương cho các lỗ hổng trong kiến trúc đám mây, vì vậy nhiều lỗ hổng nghiêm trọng vẫn chưa được tiết lộ cho người dùng, Luttwak nói.
Cập nhật thông tin nhanh nhất tại Helena Magazine!