Af Eskil Sørensen, 30/08/21
Microsoft har advaret sine kunder på cloudplatformen Azure om en softwaresårbarhed, der har afdækket data fra tusindvis af klienter i cirka to år. Det skriver Cyberscoop, Reuters m.fl. Fejlen har gjort det muligt for enhver bruger af Azure Cosmos DB at læse, skrive i og slette en anden kundes oplysninger uden at have autorisationen til det.
Cosmos DB bruges af tusinder af organisationer, herunder Coca Cola, Exxon Mobil og en række andre Fortune 500 -virksomheder. Cosmos DB betegnes som Microsoft Azure’s flagskib.
Sårbarhed fundet, udskift nøglen
Opdagelsen blev gjort af et researchteam hos sikkerhedsvirksomheden Wiz, der fandt ud af, at gruppen var i stand til at få adgang til nøgler, der styrer adgangen til databaser. Selve fejlen har været til stede i et visualiseringsværktøj, Jupyter Notebook, som har været tilgængeligt i årevis.
Ifølge Reuters, der var det første medie til at bringe historien, har Microsoft i en email til sine kunder fortalt om sårbarheden og bedt dem om selv at etablere nye nøgler, eftersom Microsoft ikke kan gøre det. I emailen skriver Microsoft også, at der ikke findes beviser for, at ’hackere eller andre outsidere har udnyttet sårbarheden for at få adgang til kundedata.’
CISA advarer
Selve sårbarheden blev fundet den 9. august og rapporteret til Microsoft den 12. Herefter blev fejlen rettet i løbet af 48 timer. Ifølge Cyberscoop er kun godt 30 pct. af Microsofts kunder blevet orienteret om dataeksponeringen, hvorfor researcherne har advaret om, at effekten sandsynligvis er mere udbredt, og at ’..hver Cosmos DB-kunde burde antage, at de er blevet afsløret’.
Siden historien første gang blev bragt har CISA i stærke vendinger opfordret Cosmos DB-kunderne om at skifte nøgle og gennemgå guiden i Microsofts Advisory om sagen.
Selve fundet af sårbarheden udløste 40.000 dollar i dusør til researcherne.
Links:
https://www.cyberscoop.com/microsoft-azure-cloud-vulnerability/
https://us-cert.cisa.gov/ncas/current-activity/2021/08/27/microsoft-azure-cosmos-db-guidance