微软透露,在发现严重漏洞后,数千名Azure Cosmos DB 数据库用户可能需要更新他们的安全保护。Cosmos DB 是 Microsoft 的数据库服务,运行在其 Azure云计算平台之上,世界各地的多家财富 500 强公司都在使用它。
来自云基础设施安全公司Wiz 的网络安全研究人员在数据库服务的一个功能中发现了一系列缺陷,攻击者可以利用这些缺陷来完全控制数据库,这意味着他们可以读取甚至删除数据。
我们正在研究我们的读者如何将 VPN 与 Netflix 等流媒体网站结合使用,以便我们改进内容并提供更好的建议。此调查不会占用您超过 60 秒的时间,如果您能与我们分享您的经验,我们将不胜感激。
“每个 CISO 的噩梦都是有人一举获得他们的访问密钥并泄露了数千兆字节的数据。所以,你可以想像我们的惊讶,当我们能够获得账目和几千微软Azure的客户,其中包括许多世界500强企业,”数据库完全不受限制地访问写奇才的尼尔Ohfeld和鹭TZADIK在一份联合博客文章。
安全研究人员指出,利用他们命名为 ChaosDB 的漏洞是“微不足道的”。
该漏洞存在于帮助用户可视化其数据的 Jupyter Notebook 功能中。它于 2019 年推出,并于 2021 年 2 月自动为所有 Cosmos DB 数据库启用。
研究人员在没有提供太多细节的情况下指出,Jupyter 的实现使攻击者能够访问数据库的主键和其他高度敏感的秘密,例如其 blob 存储访问令牌。
利用这些细节密钥,研究人员能够从互联网上访问和行使对数据库的完全读/写/删除控制。
在接到研究人员的通知后,微软迅速禁用了易受攻击的笔记本功能,以防止泄露机密。该公司还要求部分用户轮换他们的密钥,以确保任何已被未经授权用户窃取的密钥都变得毫无用处。
据路透社报道,微软的电子邮件强调了这样一个事实,即该公司没有发现任何证据表明该漏洞已被利用。
标签: