以往好多个月,微软公司一直在全力以赴解决网络信息安全层面的众多磨练。虽然该企业已经积极推进激励客户选用的零信任安全性实体模型,但它家里的一些手机软件,却也被曝出一直向公共性互联网技术打开了数据信息访问的大门口。例如稍早,Microsoft Power Apps 门户网中的默认配备,就被发觉向外对外开放了 3800 万条纪录,且在其中不缺很多敏感性信息内容。
最新动态是,Azure 云服务器中也存有相似的安全性漏洞,而且好几家资本 500 强客户都遭受了 Cosmos DB 数据库查询漏洞的危害。
安全性企业 Wiz详尽披露了 ChaosDB 进攻,得知其可以根据 Azure Cosmos DB 中的默认配备开启。
2019 年的情况下,微软公司将 Jupyter Notebook 引进在其中,并于 2021 年 2 月默认为全部客户开启。
难堪的是,因为此作用中存有配备不正确,造成 Wiz 可以访问进攻空间向量、开启管理权限提高、毁坏 Notebook 的器皿,而且取得了对 Cosmos DB 代管的主密匙、及其 Notebook blob 储存访问动态口令的访问管理权限。
然后,网络攻击可得到受害人帐户代管的全部信息的管理人员访问管理权限。在密匙泄漏后,有关数据信息也可根据公共性互联网技术开展控制。
Wiz 于 8 月 9 日发觉了该漏洞,并于 8 月 12 日向微软公司通告。幸运的是,这个雷德蒙德互联网巨头在 48 小时后便禁止使用了 Cosmos DB 中的 Jupyter Notebook 。
除此之外据美联社报导,微软公司已莫谓日完成了这个问题的修补,并逐渐向客户通告拆换她们的公钥。该企业在电子邮件中称:
- 大家马上恢复了该问题,以保证客户安全性和得到维护,与此同时感激安全性科研员工的漏洞披露层面的融洽协助
- […] 现阶段沒有征兆说明有科研工作人员(Wiz)以外的外界实体线可访问主读写能力密匙。
Wiz 警示称,即使微软公司早已完成了漏洞修复,客户也应当全方位更换她们的密匙 —— 由于目前的密匙,仍可用以访问她们的数据信息。
具体说来是,2021 年 2 月以后建立的每一个 Cosmos DB 帐户、或自发布至今应用 Jupyter Notebook 的每一个帐户,都是会遭受该漏洞的危害。
最终,Wiz 因向官方网披露了这种存有2年多的漏洞,而得到了微软公司的 40000 美金悬赏金。