Eine Sicherheitsfirma entdeckte ein Problem, das es ihnen ermöglichte, auf eine große Menge an Daten von Microsoft Azure Cloud Services-Kunden zuzugreifen. Sie sagten, dies sei die „schlimmste Cloud-Sicherheitslücke, die Sie sich vorstellen können“. Microsoft gibt an, sich nicht bewusst zu sein, dass die Sicherheitslücke von böswilligen Akteuren ausgenutzt wurde.
Das Unternehmen, das den Fehler entdeckte, konnte auf Datenbanken zugreifen und nicht nur Inhalte anzeigen, sondern auch Informationen aus der Cosmos-Datenbank ändern und löschen.
Es war ein Forschungsteam der Sicherheitsfirma Wiz, das herausfand, dass es in der Lage war, auf die Schlüssel zuzugreifen, die den Zugriff auf die Datenbanken von Tausenden von Unternehmen kontrollieren. Der Chief Technology Officer von Wiz, Ami Luttwak, ist ein ehemaliger Manager in der Cloud-Sicherheitsgruppe von Microsoft und spielte daher auch mit einem Vorteil, wenn es darum ging, den Fehler zu entdecken.
Um an die Cosmos-Datenbank zu gelangen, verschaffte sich das Sicherheitsunternehmen zunächst Zugriff auf die Primärschlüssel der Kundendatenbank. Es sei daran erinnert, dass Microsoft 2019 der Cosmos-Datenbank eine Funktion namens Jupyter Notebook hinzugefügt hat, mit der Kunden ihre Daten visualisieren und benutzerdefinierte Ansichten erstellen können. Die Funktion wurde im Februar 2021 automatisch für alle Cosmos-Datenbanken aktiviert.
Wiz erinnert uns daran, dass einige der Unternehmen, die diese Cosmos-Datenbank verwenden, Giganten wie Coca-Cola, Exxon-Mobil und Citrix sind, wie auf der eigenen offiziellen Website dieses Dienstes zu sehen ist.
Microsoft kann diese Schlüssel nicht ändern
Da Microsoft diese Schlüssel nicht selbst ändern kann, schickte es am Donnerstag eine E-Mail an Kunden, in der sie aufgefordert wurden, neue zu erstellen. Microsoft hat zugestimmt, Wiz 40.000 US-Dollar dafür zu zahlen, den Fehler zu finden und zu melden. Microsoft-Beamte haben sich nicht weiter zu dem Sicherheitsproblem geäußert.
In einer E-Mail, die Microsoft an Wiz schickte, sagt das Unternehmen, es habe die Sicherheitslücke behoben und es gebe keine Beweise dafür, dass der Fehler ausgenutzt wurde. „Wir haben keinen Hinweis darauf, dass externe Einheiten außerhalb des Forschers (Wiz) Zugriff auf den primären Lese-Schreib-Schlüssel hatten“, heißt es in der Mail.
„Dies ist die schlimmste Cloud-Sicherheitslücke, die Sie sich vorstellen können. Es ist ein lang anhaltendes Geheimnis“, sagt Ami Luttwak, Chief Technology Officer von Wiz. „Dies ist die zentrale Datenbank von Azure, und wir konnten auf jede gewünschte Kundendatenbank zugreifen“, fügt er hinzu.
