En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>網(wǎng)安動態(tài)> 云數(shù)據(jù)庫嚴(yán)重漏洞或泄露訪問密鑰,微軟警告數(shù)千客戶抓緊處置

云數(shù)據(jù)庫嚴(yán)重漏洞或泄露訪問密鑰,微軟警告數(shù)千客戶抓緊處置

文章

2021-09-06瀏覽次數(shù):270

根據(jù)相關(guān)郵件及一位網(wǎng)絡(luò)安全研究人員的證實,微軟本周四(8月26日)向包括全球多家巨頭企業(yè)在內(nèi)的云服務(wù)客戶發(fā)布廣泛警告,稱入侵者或有能力讀取、篡改甚至刪除其主數(shù)據(jù)庫。
這項漏洞來自Microsoft Azure平臺上的旗艦Cosmos DB數(shù)據(jù)庫。云安全廠商Wiz的研究團(tuán)隊發(fā)現(xiàn),攻擊者能夠借此漏洞掌握數(shù)千家企業(yè)日常使用的數(shù)據(jù)庫的訪問密鑰。這里還有一段故事,Wiz公司首席技術(shù)官Ami Luttwak正是微軟云安全團(tuán)隊的前任首席技術(shù)官。
由于微軟無法自行更改這些密鑰,因此只能于周四向客戶發(fā)出郵件,提醒他們盡快創(chuàng)建新密鑰。根據(jù)Wiz收到的微軟郵件,微軟公司愿意為此項漏洞的發(fā)現(xiàn)與上報支付4萬美元獎勵。
微軟在采訪中證實,“我們立即修復(fù)了這個問題,確保我們的客戶受到安全保護(hù)。我們也要感謝安全研究人員在漏洞披露方面提供的支持與協(xié)助。”
微軟在寫給客戶的郵件中提到,并無證據(jù)證明此項漏洞已遭利用。“目前,沒有跡象表明除Wiz研究人員之外的其他外部實體,能夠訪問數(shù)據(jù)庫的主讀寫密鑰。”
ChaosDB,史上最嚴(yán)重的云漏洞?
Luttwak在采訪中表示,“這是我們所能想象到的最嚴(yán)重的云漏洞,也是個早已有之的潛在隱患。經(jīng)由Azure中央數(shù)據(jù)庫,我們能夠訪問任何客戶的數(shù)據(jù)庫。”
Luttwak的團(tuán)隊于8月9日發(fā)現(xiàn)了這項漏洞并將其定名為ChaosDB,隨后于8月12日將問題上報給微軟。
此項漏洞源自一款名為Jupyter Notebook的可視化工具。這款工具已經(jīng)有多年歷史,但從今年2月起才開始在Cosmos中默認(rèn)啟用。
Luttwak指出,即使是沒有收到微軟通知的客戶,其密鑰仍有可能遭到攻擊者的竊取,因此請立即更改密鑰以防遭到未授權(quán)訪問。換言之,微軟只是向那些他們認(rèn)為可能受到影響的客戶發(fā)出了警報。
微軟則回應(yīng)稱,“可能受到影響的客戶都已收到我們發(fā)布的通知”,但并未做出進(jìn)一步解釋。
微軟近期頻頻曝出重大安全問題
就在幾個月之前,微軟才剛剛經(jīng)歷一輪安全危機(jī)的洗禮。曾經(jīng)入侵SolarWinds的疑似俄羅斯政府支持黑客團(tuán)伙再度出手,盜取大量微軟產(chǎn)品源代碼。而在發(fā)布補(bǔ)丁之后,仍有大批黑客成功闖入Exchange電子郵件服務(wù)器。
另外,微軟最近發(fā)布的一個導(dǎo)致計算機(jī)被接管的打印機(jī)缺陷修復(fù)補(bǔ)丁也出現(xiàn)問題,需要回爐重造。上周,美國政府也就另一項Exchange漏洞向客戶發(fā)布緊急警告,稱已經(jīng)有勒索軟件團(tuán)伙開始利用此項漏洞、呼吁各家客戶馬上安裝幾個月前就已發(fā)布的補(bǔ)丁。
但Azure上的問題尤其令人不安,畢竟微軟及外部安全專家一直在催促企業(yè)客戶放棄自有基礎(chǔ)設(shè)施,依靠云環(huán)境提升業(yè)務(wù)安全性。
盡管云攻擊確實較為罕見,然而一旦問題發(fā)生,引發(fā)的破壞性可能更強(qiáng)。更重要的是,不少攻擊事件從未對外公開。某家與聯(lián)邦政府簽約的研究實驗室專門跟蹤軟件中的所有已知安全漏洞,并按嚴(yán)重程度對其進(jìn)行評級。但Luttwak強(qiáng)調(diào),目前還不存在針對云架構(gòu)漏洞的同類系統(tǒng),因此很多關(guān)鍵漏洞仍未向用戶披露。
文章轉(zhuǎn)載自安全內(nèi)參