微軟修復存在兩年多的Azure Cosmos資料庫漏洞
過去幾個月,微軟一直在努力應對網路安全方面的諸多考驗。 儘管該公司正在積極推動鼓勵客戶採用的零信任安全模型,但它自家的一些軟體,卻也被曝出一直向公共互聯網敞開了數據訪問的大門。 比如早些時候,Microsoft Power Apps 門戶中的預設配置,就被發現向外開放了 3800 萬條記錄,且其中不乏大量敏感資訊。
最新消息是,Azure 雲服務中也存在類似的安全漏洞,並且多家財富 500 強客戶都受到了 Cosmos DB 資料庫漏洞的影響。
安全公司Wiz詳細披露了 ChaosDB 攻擊,可知其能夠通過 Azure Cosmos DB 中的預設配置觸發。
2019 年的時候,微軟將 Jupyter Notebook 引入其中,並於 2021 年 2 月預設為所有客戶啟用。
尷尬的是,由於此功能中存在配置錯誤,導致Wiz能夠訪問攻擊向量、觸發許可權提升、破壞 Notebook 的容器,並且獲得了對 Cosmos DB 託管的主密鑰、以及 Notebook blob 儲存存取權杖的訪問許可權。
接著,攻擊者可獲得受害者帳戶託管的所有數據的管理員訪問許可權。 在密鑰洩露后,相關數據也可通過公共互聯網進行操縱。
Wiz 於 8 月 9 日發現了該漏洞,並於 8 月 12 日向微軟通報。 慶幸的是,這家雷德蒙德科技巨頭在 48 小時後便禁用了 Cosmos DB 中的 Jupyter Notebook 。
此外據路透社報導,微軟已於今日完成了這個問題的修復,並開始向客戶通知更換他們的私鑰。 該公司在郵件中稱:
我們立即修復了該問題,以確保客戶安全和受到保護,同時感謝安全研究人員的漏洞披露方面的協調説明
[…] 目前沒有跡象表明有研究人員(Wiz)之外的外部實體可訪問主讀寫密鑰。
Wiz 警告稱,即使微軟已經完成了漏洞修補,客戶也應該全面替換他們的密鑰 —— 因為現有的密鑰,仍可用於訪問他們的數據。
具體說來是,2021 年 2 月之後創建的每個 Cosmos DB 帳戶、或自推出以來使用 Jupyter Notebook 的每個帳戶,都會受到該漏洞的影響。
最後,Wiz 因向官方披露了這個存在兩年多的漏洞,而獲得了微軟的 40000 美元賞金。