EXKLUSIV Microsoft benachrichtigt Tausende von Cloud-Kunden über exponierte Datenbanken

SAN FRANCISCO, 26. August (Reuters) – Microsoft (MSFT.O) Donnerstag warnte Tausende seiner Cloud-Computing-Kunden, darunter einige der größten Unternehmen der Welt, dass Eindringlinge laut einer Kopie von th-mail und einem Cybersicherheitsforscher die Möglichkeit haben könnten, ihre Hauptdatenbanken zu lesen, zu ändern oder sogar zu löschen.

Die Schwachstelle liegt in der Flaggschiff-Datenbank Cosmos DB von Microsoft Azure. Ein Forschungsteam der Sicherheitsfirma Wiz fand heraus, dass es auf die Schlüssel zugreifen konnte, die den Zugriff auf Datenbanken von Tausenden von Unternehmen kontrollieren. Wiz CTO Ami Luttwak ist ein ehemaliger CTO der Microsoft Cloud Security Group.

Da Microsoft diese Schlüssel nicht selbst ändern kann, hat es Kunden am Donnerstag per E-Mail gebeten, neue zu erstellen. Laut einer an Wiz gesendeten E-Mail hat Microsoft zugestimmt, Wiz 40.000 US-Dollar für das Finden und Melden des Fehlers zu zahlen.

„Wir haben dieses Problem sofort gelöst, um die Sicherheit und den Schutz unserer Kunden zu gewährleisten. Wir danken den Sicherheitsforschern für ihre Arbeit an der koordinierten Offenlegung von Sicherheitslücken“, sagte Microsoft gegenüber Reuters.

In der E-Mail von Microsoft an Kunden hieß es, es gebe keine Beweise dafür, dass der Fehler ausgenutzt worden sei. „Wir haben keinen Hinweis darauf, dass externe Entitäten außerhalb des Forschers (Wiz) Zugriff auf den primären Lese-Schreib-Schlüssel hatten“, heißt es in der E-Mail.

„Dies ist die schlimmste Cloud-Sicherheitslücke, die Sie sich vorstellen können. Es ist ein langjähriges Geheimnis “, sagte Luttwak gegenüber Reuters. „Dies ist die zentrale Datenbank von Azure, und wir konnten auf jede gewünschte Kundendatenbank zugreifen. „

Das Luttwak-Team entdeckte das Problem mit dem Namen ChaosDB am 9. August und benachrichtigte Microsoft am 12. August, sagte Luttwak.

Der Fehler lag in einem Anzeigetool namens Jupyter Notebook, das seit Jahren verfügbar ist, aber ab Februar standardmäßig in Cosmos aktiviert ist. Nachdem Reuters den Fehler gemeldet hatte, detailliert das Problem in einem Blogbeitrag.

Luttwak sagte, selbst Kunden, die nicht von Microsoft benachrichtigt wurden, könnten ihre Schlüssel von Angreifern hacken und ihnen Zugriff gewähren, bis diese Schlüssel geändert wurden. Microsoft hat nur Kunden angezeigt, deren Schlüssel diesen Monat sichtbar waren, als Wiz an dem Problem arbeitete.

Microsoft teilte Reuters mit, dass „möglicherweise betroffene Kunden eine Benachrichtigung von uns erhalten haben“, ohne weitere Details zu nennen.

Die Offenlegung erfolgt nach Monaten schlechter Sicherheitsnachrichten für Microsoft. Das Unternehmen wurde von denselben mutmaßlichen Hackern der russischen Regierung vergewaltigt, die SolarWinds infiltriert haben. wer hat den Quellcode von Microsoft gestohlen. Dann brachen eine große Anzahl von Hackern in Exchange-Mailserver ein, während ein Fix in der Entwicklung war.

Eine kürzlich durchgeführte Behebung eines Druckerfehlers, der Computerübernahmen ermöglichte, musste mehrmals wiederholt werden. Ein weiterer Exchange-Fehler letzte Woche verursachte a dringende Warnung der US-Regierung dass Kunden Patches installieren müssen, die vor Monaten veröffentlicht wurden, weil Ransomware-Banden sie jetzt ausnutzen.

Die Probleme mit Azure sind besonders besorgniserregend, da Microsoft und externe Sicherheitsexperten Unternehmen dazu gedrängt haben, den Großteil ihrer eigenen Infrastruktur aufzugeben und sich für zusätzliche Sicherheit auf die Cloud zu verlassen.

Aber obwohl Cloud-Angriffe seltener sind, können sie verheerender sein, wenn sie auftreten. Darüber hinaus werden einige nie veröffentlicht.

Ein staatlich beauftragtes Forschungslabor verfolgt alle bekannten Sicherheitslücken in Software und bewertet sie nach Schweregrad. Aber es gibt kein gleichwertiges System für Schwachstellen in der Cloud-Architektur, so dass viele kritische Schwachstellen den Benutzern nicht offengelegt werden, sagte Luttwak.

Berichterstattung von Joseph Menn; Bearbeitung von William Mallard

Unsere Standards: Trust-Prinzipien von Thomson Reuters.