近日,安全公司Wiz发现了微软云服务Azure的旗舰数据库Cosmos存在安全漏洞,该漏洞已存在2年多。该漏洞被称为“ChaosDB”。使用它,网络入侵者可以读取、删除和修改存储在Azure上的Cosmos数据库中的信息。尤为尴尬的是,在MicrosoftAzure云服务器上配置Cosmos数据库的过程中,“JupiterNotebook”可视化特性中会默认启用错误的配置,而这种错误的配置会让攻击者获取攻击向量,触发权限提升,并销毁数据库并能够访问数据库管理的主密钥,以及存储访问令牌。幸运的是,目前还没有黑客利用该漏洞发起攻击。微软于8月12日获悉该漏洞,并于8月14日修复,目前正在紧急发送邮件通知客户更换私钥,以避免该漏洞的影响。据了解,受影响的客户包括EssencoMobil、可口可乐、赛门铁克、蔡司等国际知名企业,就连微软自己的Skype、Xbox、Office等服务也受到了影响。
