Microsoft waarschuwde donderdag duizenden van zijn cloud computing-klanten, waaronder enkele van ‘s werelds grootste bedrijven, dat indringers de mogelijkheid zouden kunnen hebben om hun belangrijkste databases te lezen, wijzigen of zelfs te verwijderen, volgens een kopie van de e-mail en een cyberbeveiligingsonderzoeker.
Het beveiligingslek zit in de vlaggenschip Cosmos DB-database van Microsoft Azure. Een onderzoeksteam van beveiligingsbedrijf Wiz ontdekte dat het toegang kon krijgen tot sleutels die de toegang tot databases van duizenden bedrijven beheren. Wiz Chief Technology Officer Ami Luttwak is een voormalig Chief Technology Officer bij Microsoft’s Cloud Security Group.
Omdat Microsoft die sleutels niet zelf kan wijzigen, heeft het de klanten donderdag een e-mail gestuurd met de mededeling dat ze nieuwe moeten maken. Microsoft stemde ermee in om Wiz $ 40.000 te betalen voor het vinden van de fout en het melden ervan, volgens een e-mail die het naar Wiz stuurde.
“We hebben dit probleem onmiddellijk opgelost om onze klanten veilig en beschermd te houden. We danken de beveiligingsonderzoekers voor het werken aan gecoördineerde openbaarmaking van kwetsbaarheden”, vertelde Microsoft aan Reuters.
Microsoft’s e-mail aan klanten zei dat er geen bewijs was dat de fout was uitgebuit. “We hebben geen aanwijzingen dat externe entiteiten buiten de onderzoeker (Wiz) toegang hadden tot de primaire lees-schrijfsleutel”, aldus de e-mail.
“Dit is de ergste cloudkwetsbaarheid die je je kunt voorstellen. Het is een langdurig geheim’, vertelde Luttwak aan Reuters. “Dit is de centrale database van Azure en we konden toegang krijgen tot elke klantendatabase die we wilden.”
Het team van Luttwak ontdekte het probleem, ChaosDB genaamd, op 9 augustus en stelde Microsoft op 12 augustus op de hoogte, zei Luttwak. . Nadat Reuters over de fout had gerapporteerd, beschreef Wiz het probleem met duizenden Azure-klantendatabases in een blogpost.
Luttwak zei dat zelfs klanten die niet door Microsoft op de hoogte zijn gesteld, hun sleutels door aanvallers kunnen laten stelen, waardoor ze toegang krijgen totdat die sleutels worden gewijzigd. Microsoft vertelde het pas aan klanten van wie de sleutels deze maand zichtbaar waren, toen Wiz aan het probleem werkte.
Microsoft vertelde Reuters dat “klanten die mogelijk getroffen zijn een melding van ons hebben ontvangen”, zonder verder uit te werken.
De onthulling komt na maanden van slecht beveiligingsnieuws voor Microsoft. Het bedrijf werd geschonden door dezelfde vermoedelijke Russische overheidshackers die SolarWinds infiltreerden, die hier de broncode van Microsoft hebben gestolen. Toen brak een groot aantal hackers in op Exchange-e-mailservers terwijl een patch werd ontwikkeld.
Een recente oplossing voor een printerfout waardoor computerovernames mogelijk werden, moest herhaaldelijk opnieuw worden uitgevoerd. Een andere Exchange-fout vorige week leidde tot een dringende waarschuwing van de Amerikaanse regering dat klanten maanden geleden uitgegeven patches moeten installeren omdat ransomware-bendes er nu misbruik van maken.
Problemen met Azure zijn vooral verontrustend, omdat Microsoft en externe beveiligingsexperts bedrijven ertoe hebben aangezet om het grootste deel van hun eigen infrastructuur op te geven en op de cloud te vertrouwen voor meer beveiliging.
Maar hoewel cloudaanvallen zeldzamer zijn, kunnen ze verwoestender zijn als ze plaatsvinden. Bovendien worden sommige nooit gepubliceerd.
Een federaal gecontracteerd onderzoekslaboratorium spoort alle bekende beveiligingsfouten in software op en beoordeelt ze op ernst. Maar er is geen gelijkwaardig systeem voor gaten in de cloudarchitectuur, dus veel kritieke kwetsbaarheden blijven niet bekendgemaakt aan gebruikers, zei Luttwak.
Leave a Reply