Microsoft предупреди потребителите на облачните им услуги за възможно изтичане на данни |
В четвъртък Microsoft предизвести хиляди клиенти на своите облачни системи, в това число някои от най-големите компании в света, че недоброжелатели може би имат опция да четат, трансформират или даже да изтриват главните им бази данни, се оповестява в имейл на откривател на киберсигурността.
Уязвимостта е във водещата база данни на Microsoft Azure Cosmos DB. Изследователски екип от компанията за сигурност Wiz съумява да получи пароли, които управляват достъпа до бази данни, притежавани от хиляди компании. Главният софтуерен шеф на Wiz Ами Лютвак е някогашен основен софтуерен шеф в Microsoft Cloud Security Group.
Тъй като Microsoft не може самичък да промени тези пароли, компанията изпрати имейл на клиентите си в четвъртък с директива да основат нови. Microsoft се съгласи да заплати на Wiz 40 000 $, с цел да открие минусите и да го рапортува.
" Ние взехме решение този проблем неотложно, с цел да запазим клиентите си предпазени и в сигурност. Благодарим на откривателите по сигурността, че работят по координирано откриване на недостатъци ", съобщи Microsoft пред Ройтерс.
В имейла на Microsoft до клиентите се споделя, че няма доказателства, че пробивът е бил употребен. „ Нямаме индикации, че външни субекти отвън откривателя (Wiz) са имали достъп до главния ключ за четене и запис “, се оповестява в имейла.
„ Това е най-лошата накърнимост в облака, която можете да си визиите. “, сподели Лютвак пред Ройтерс. „ Това е централната база данни на Azure и успяхме да получим достъп до всяка база данни на клиенти, която желаеме. “
Екипът на Лютвак открива казуса, наименуван ChaosDB, на 9 август и уведомява Microsoft на 12 август, сподели специалистът.
Проблемът е в инструмент за визуализация, наименуван Jupyter Notebook, който е разполагаем от години, само че е задействан по дифолт в Cosmos от февруари насам.
Лютвак изяснява, че даже клиенти, които не са получили имейл от Microsoft, биха могли да са уязвими, до момента в който не сменят паролите. Microsoft извести единствено клиентите, чиито пароли са били забележими през месеца, в който Wiz работят по въпроса.
Откритието идва след месеци на неприятни вести за сигурността за Microsoft. Компанията имаше пробив от хипотетични съветски държавни хакери. Скорошна промяна на проблем с принтирането разреши завземането на компютри и беше преработвана неведнъж. Недостатък на мейл сървъра Exchange предходната седмица провокира незабавно предизвестие от държавното управление на Съединени американски щати, че банди за онлайн изнудване може да го употребяват.
Проблемите с Azure са изключително тревожни, тъй като Microsoft и външни специалисти по сигурността принуждават фирмите да изоставят по-голямата част от личната си инфраструктура и да разчитат на облака за по-голяма сигурност. И макар че облачните офанзиви са по-редки, те могат да бъдат по-сериозни, когато се случат. Нещо повече, някои в никакъв случай не се оповестяват.
Федерално контрактувана изследователска лаборатория наблюдава всички известни пропуски в сигурността на софтуера и ги прави оценка по тежест. Но няма еквивалентна система за пробиви в облачната архитектура, тъй че доста сериозни недостатъци остават неразкрити за потребителите, добавя Лютвак.
Уязвимостта е във водещата база данни на Microsoft Azure Cosmos DB. Изследователски екип от компанията за сигурност Wiz съумява да получи пароли, които управляват достъпа до бази данни, притежавани от хиляди компании. Главният софтуерен шеф на Wiz Ами Лютвак е някогашен основен софтуерен шеф в Microsoft Cloud Security Group.
Тъй като Microsoft не може самичък да промени тези пароли, компанията изпрати имейл на клиентите си в четвъртък с директива да основат нови. Microsoft се съгласи да заплати на Wiz 40 000 $, с цел да открие минусите и да го рапортува.
" Ние взехме решение този проблем неотложно, с цел да запазим клиентите си предпазени и в сигурност. Благодарим на откривателите по сигурността, че работят по координирано откриване на недостатъци ", съобщи Microsoft пред Ройтерс.
В имейла на Microsoft до клиентите се споделя, че няма доказателства, че пробивът е бил употребен. „ Нямаме индикации, че външни субекти отвън откривателя (Wiz) са имали достъп до главния ключ за четене и запис “, се оповестява в имейла.
„ Това е най-лошата накърнимост в облака, която можете да си визиите. “, сподели Лютвак пред Ройтерс. „ Това е централната база данни на Azure и успяхме да получим достъп до всяка база данни на клиенти, която желаеме. “
Екипът на Лютвак открива казуса, наименуван ChaosDB, на 9 август и уведомява Microsoft на 12 август, сподели специалистът.
Проблемът е в инструмент за визуализация, наименуван Jupyter Notebook, който е разполагаем от години, само че е задействан по дифолт в Cosmos от февруари насам.
Лютвак изяснява, че даже клиенти, които не са получили имейл от Microsoft, биха могли да са уязвими, до момента в който не сменят паролите. Microsoft извести единствено клиентите, чиито пароли са били забележими през месеца, в който Wiz работят по въпроса.
Откритието идва след месеци на неприятни вести за сигурността за Microsoft. Компанията имаше пробив от хипотетични съветски държавни хакери. Скорошна промяна на проблем с принтирането разреши завземането на компютри и беше преработвана неведнъж. Недостатък на мейл сървъра Exchange предходната седмица провокира незабавно предизвестие от държавното управление на Съединени американски щати, че банди за онлайн изнудване може да го употребяват.
Проблемите с Azure са изключително тревожни, тъй като Microsoft и външни специалисти по сигурността принуждават фирмите да изоставят по-голямата част от личната си инфраструктура и да разчитат на облака за по-голяма сигурност. И макар че облачните офанзиви са по-редки, те могат да бъдат по-сериозни, когато се случат. Нещо повече, някои в никакъв случай не се оповестяват.
Федерално контрактувана изследователска лаборатория наблюдава всички известни пропуски в сигурността на софтуера и ги прави оценка по тежест. Но няма еквивалентна система за пробиви в облачната архитектура, тъй че доста сериозни недостатъци остават неразкрити за потребителите, добавя Лютвак.
Източник: offnews.bg
КОМЕНТАРИ