微软警告数以千计的云服务客户:数据库可能暴露对于云计算客户,包括一些世界上最大的公司,入侵者可能有能力读取、更改甚至删除他们的主数据库。该漏洞是在MicrosoftAzure的旗舰产品Cosmos数据库中发现的。安全公司Wiz的一个研究团队发现它能够访问控制对数千家公司持有的数据库的访问的密钥。Wiz首席技术官阿米·卢特瓦克(AmiLuttwak)是微软云安全集团的前首席技术官。由于微软无法自行更改这些密钥,该公司周四通过电子邮件向其客户发送电子邮件,告知他们创建新密钥。根据微软发给Wiz的电子邮件,微软同意向Wiz支付40,000美元用于发现和报告该漏洞。微软发言人拒绝就此事立即置评。微软在给客户的邮件中写道,他们目前已经修复了该漏洞,没有证据表明该漏洞已被利用。该公司写道:“没有迹象表明研究人员(Wiz)以外的外部实体能够访问主要的读写密钥。”“这是你能想象到的最严重的云计算服务漏洞,”Luttwak说。这是一个由来已久的秘密。它是Azure的中央数据库,我们能够访问我们想要的任何客户的数据库。”Luttwak说他的团队在8月9日发现了这个漏洞。这个名为ChaosDB的漏洞在8月12日被报告给了微软。几个月前,微软刚刚有一个与安全相关的坏消息。该公司疑似遭到俄罗斯黑客入侵,窃取了微软的部分源代码。前不久,微软还重新修复了一个让电脑被打印机接管的bug。上周,Exchange中的一个电子邮件漏洞引发了美国政府的紧急警告,称客户需要安装几个月前发布的补丁,因为勒索软件团伙现在正在利用该漏洞。
