在过去的几个月里,微软一直在努力应对网络安全方面的诸多挑战。尽管该公司正在积极推广鼓励客户采用的零信任安全模式,但其部分软件已被曝光,为数据访问公共互联网打开了大门。例如,早些时候,MicrosoftPowerApps门户中的默认配置被发现暴露了3800万条记录,其中许多是敏感的。最新消息称,Azure云服务存在类似安全漏洞,多家世界500强客户已受到CosmosDB数据库漏洞的影响。安全公司Wiz详细介绍了一种可以通过AzureCosmosDB中的默认配置触发的ChaosDB攻击。2019年,Microsoft推出了JupyterNotebook,并将于2021年2月默认为所有客户启用。令人尴尬的是,由于此功能的配置错误,Wiz能够访问攻击向量,触发权限提升,破坏Notebook的容器,并获得对CosmosDB托管主密钥的访问权限,以及Notebookblob存储访问令牌。然后,攻击者可以获得对受害者帐户托管的所有数据的管理员访问权限。密钥被泄露后,相关数据也可以通过公共互联网进行操作。Wiz于8月9日发现了该漏洞,并于8月12日通知了微软。幸运的是,微软在48小时后禁用了CosmosDB中的JupyterNotebook。此外,据路透社报道,微软今天已经完成了针对该问题的修复,并开始通知客户更换私钥。该公司在一封电子邮件中说:我们立即解决了这个问题,以保证客户的安全和受到保护,并感谢安全研究人员在披露漏洞方面的协调帮助[…]目前没有迹象表明研究人员以外的任何人(Wiz)外部实体可以访问主读写密钥。Wiz警告说,即使在Microsoft完成漏洞修补后,客户也应该全面更换他们的密钥——因为现有密钥仍然可以用来访问他们的数据。具体来说,2021年2月之后创建的每个CosmosDB帐户,或自推出以来使用JupyterNotebook的每个帐户,都会受到该漏洞的影响。最终,Wiz因向当局披露该漏洞两年多时间而获得了微软4万美元的赏金。
