云數據庫嚴重漏洞或泄露訪問密鑰，微軟警告數千客戶抓緊處置

根據相關郵件及一位網絡安全研究人員的證實，微軟本周四（8月26日）向包括全球多家巨頭企業(yè)在內的云服務客戶發(fā)布廣泛警告，稱入侵者或有能力讀取、篡改甚至刪除其主數據庫。
這項漏洞來自Microsoft Azure平臺上的旗艦Cosmos DB數據庫。云安全廠商Wiz的研究團隊發(fā)現，攻擊者能夠借此漏洞掌握數千家企業(yè)日常使用的數據庫的訪問密鑰。這里還有一段故事，Wiz公司首席技術官Ami Luttwak正是微軟云安全團隊的前任首席技術官。
由于微軟無法自行更改這些密鑰，因此只能于周四向客戶發(fā)出郵件，提醒他們盡快創(chuàng)建新密鑰。根據Wiz收到的微軟郵件，微軟公司愿意為此項漏洞的發(fā)現與上報支付4萬美元獎勵。
微軟在采訪中證實，“我們立即修復了這個問題，確保我們的客戶受到安全保護。我們也要感謝安全研究人員在漏洞披露方面提供的支持與協(xié)助。”
微軟在寫給客戶的郵件中提到，并無證據證明此項漏洞已遭利用。“目前，沒有跡象表明除Wiz研究人員之外的其他外部實體，能夠訪問數據庫的主讀寫密鑰。”
ChaosDB，史上最嚴重的云漏洞？
Luttwak在采訪中表示，“這是我們所能想象到的最嚴重的云漏洞，也是個早已有之的潛在隱患。經由Azure中央數據庫，我們能夠訪問任何客戶的數據庫。”
Luttwak的團隊于8月9日發(fā)現了這項漏洞并將其定名為ChaosDB，隨后于8月12日將問題上報給微軟。
此項漏洞源自一款名為Jupyter Notebook的可視化工具。這款工具已經有多年歷史，但從今年2月起才開始在Cosmos中默認啟用。
Luttwak指出，即使是沒有收到微軟通知的客戶，其密鑰仍有可能遭到攻擊者的竊取，因此請立即更改密鑰以防遭到未授權訪問。換言之，微軟只是向那些他們認為可能受到影響的客戶發(fā)出了警報。
微軟則回應稱，“可能受到影響的客戶都已收到我們發(fā)布的通知”，但并未做出進一步解釋。
微軟近期頻頻曝出重大安全問題
就在幾個月之前，微軟才剛剛經歷一輪安全危機的洗禮。曾經入侵SolarWinds的疑似俄羅斯政府支持黑客團伙再度出手，盜取大量微軟產品源代碼。而在發(fā)布補丁之后，仍有大批黑客成功闖入Exchange電子郵件服務器。
另外，微軟最近發(fā)布的一個導致計算機被接管的打印機缺陷修復補丁也出現問題，需要回爐重造。上周，美國政府也就另一項Exchange漏洞向客戶發(fā)布緊急警告，稱已經有勒索軟件團伙開始利用此項漏洞、呼吁各家客戶馬上安裝幾個月前就已發(fā)布的補丁。
但Azure上的問題尤其令人不安，畢竟微軟及外部安全專家一直在催促企業(yè)客戶放棄自有基礎設施，依靠云環(huán)境提升業(yè)務安全性。
盡管云攻擊確實較為罕見，然而一旦問題發(fā)生，引發(fā)的破壞性可能更強。更重要的是，不少攻擊事件從未對外公開。某家與聯(lián)邦政府簽約的研究實驗室專門跟蹤軟件中的所有已知安全漏洞，并按嚴重程度對其進行評級。但Luttwak強調，目前還不存在針對云架構漏洞的同類系統(tǒng)，因此很多關鍵漏洞仍未向用戶披露。
文章轉載自安全內參