BigDataDigest作者:Mickey,修改和删除了数千名Azure客户的数据,微软现已将该漏洞告知客户。“你能想到的最可怕的漏洞。”8月9日,专业安全公司Wiz的首席技术官AmiLuttwak发表了一篇博客《ChaosDB:我们是如何入侵包含数千个 Azure 客户的数据库的》,称他们发现了MicrosoftAzureCosmosDBJupyterNotebook功能中的一个漏洞,并在三天后向微软报告。AmiLuttwak也是微??软云安全集团的前CTO。Wiz在这篇博客中表示,“我们可以完全不受限制地访问数以千计的MicrosoftAzure客户的帐户和数据库,其中包括许多全球财富500强公司。”机智将此漏洞命名为#ChaosDB,并公布了其破解此数据库的全过程:第1步:获取CosmosDB客户的主键首先,我们获得了对客户CosmosDB主键的访问权限。2019年,微软在CosmosDB中添加了一项名为JupyterNotebook的功能,可让客户可视化他们的数据并创建自定义视图。2021年2月,所有CosmosDB都自动启用了此功能。Notebook功能中的一系列错误配置使我们能够找到新的攻击向量。简而言之,Notebook允许将权限扩展到其他客户端笔记本。因此,攻击者可以访问客户的CosmosDB主键和其他高度敏感的机密信息,例如Notebookblob存储访问令牌。第2步:访问CosmosDB中的客户数据接下来,在收集到CosmosDB机密后,攻击者可以利用这些密钥获得对存储在受影响的CosmosDB帐户中的所有数据的管理员访问权限。我们泄露了密钥以获得对客户资产和数据的长期访问权限。然后我们可以直接从Internet以完全读/写/删除权限控制客户CosmosDB。微软警告全球客户,奖励Wiz40,000美元Wiz迅速将漏洞发布给微软,微软发表声明称立即修复了该问题。Microsoft感谢安全研究人员在协调披露漏洞方面所做的工作。微软还通过电子邮件告诉Wiz,它计划支付40,000美元用于报告该漏洞。8月26日,微软通过电子邮件通知了数千名受该问题影响的云客户。在电子邮件中,微软警告其客户,攻击者有能力读取、修改甚至删除所有主要数据库。通过获得对主读写密钥的访问权,Wiz获得了对客户数据库的完全访问权。由于Microsoft本身无法更改这些密钥,因此该公司要求其客户采取行动并将此主密钥交换为CosmosDB作为预防措施。虽然安全漏洞已被关闭,但客户应采取此步骤以最终防止可能的数据库泄露。微软在消息中进一步写道,他们没有发现第三方(Wiz除外)访问过密钥的证据。通知电子邮件还不够Luttwak告诉路透社,微软的警告电子邮件还不够:该公司仅在Wiz发现并调查问题的同一个月内写信给易受攻击的密钥可见的客户。但是,攻击者可能已经查看了更多客户的密钥,因为该漏洞是在2019年首次发布Jupyter功能时引入的。每个使用此功能的CosmosDB帐户都可能面临风险。从今年2月开始,每个新创建的CosmosDB帐户都默认启用笔记本功能至少三天,即使客户不知道并且从未使用过该功能,他们的主键也可能已经暴露.由于主键是一个永久秘密,不会自动更新,因此即使受影响的公司关闭了CosmosDB中的Jupyter功能,潜在的攻击者仍然可以滥用获得的密钥。尽管受到了Wiz的批评,但微软并未通知所有已将JupyterNotebook功能开启到CosmosDB的客户。当被问及此事时,微软只告诉路透社,它已通知可能受影响的客户,但没有进一步解释该声明。国土安全部网络安全和基础设施安全局也发布公告,使用更强硬的语言,明确表示它不仅针对那些收到通知的客户,而是针对所有使用AzureCosmosDB的人:“CISA强烈鼓励AzureCosmosDB客户滚动结束并重新生成他们的证书”。加密!加密!加密!“这是你能想象到的最严重的云漏洞。这是Azure的中央数据库,我们可以访问我们想要的任何客户数据库,”Luttwak说。这个Microsoft漏洞对于任何使用CosmosDB的人来说都是至关重要的,对于任何公司来说都是一场噩梦。数以千计的公司,其中许多是全球性的,包括财富500强,使用Miscrosoft的AzureCosmosDB近乎实时地管理来自世界各地的大量数据。他们的数据现在可能面临被黑客攻击的风险,被盗甚至被删除的风险。Wiz在一篇博文中表示,“近年来,随着越来越多的公司转向云端,数据库暴露变得极为普遍,而罪魁祸首往往是客户环境中的错误配置。”减少此类威胁的可能性然而,想要将数据移动到云端的公司只有一个选择:加密。这里的加密不是指服务端加密,而是真正的端到端加密,这使得任何人,甚至服务提供商都无法掌握密钥。Miscrosoft的Azure数据库遭到黑客攻击再次表明,加密是我们抵御恶意攻击和保护数据安全的最佳工具。当数据存储在云中时,正确保护数据的唯一方法是端到端加密——没有任何后门。【本文为栏目组织大数据文摘原创翻译,微信公众号“大数据文摘(id:BigDataDigest)”】点此查看作者更多好文
