過(guò)去幾個(gè)月�����,微軟一直在努力應對網(wǎng)絡(luò )安全方面的諸多考驗����。盡管該公司正在積極推動(dòng)鼓勵客戶(hù)采用的零信任安全模型�����,但它自家的一些軟件��,卻也被曝出一直向公共互聯(lián)網(wǎng)敞開(kāi)了數據訪(fǎng)問(wèn)的大門(mén)��。比如早些時(shí)候�,Microsoft Power Apps 門(mén)戶(hù)中的默認配置��,就被發(fā)現向外開(kāi)放了 3800 萬(wàn)條記錄��,且其中不乏大量敏感信息�。
最新消息是�,Azure 云服務(wù)中也存在類(lèi)似的安全漏洞��,并且多家財富 500 強客戶(hù)都受到了 Cosmos DB 數據庫漏洞的影響�。
安全公司 Wiz 詳細披露了 ChaosDB 攻擊�,可知其能夠通過(guò) Azure Cosmos DB 中的默認配置觸發(fā)�����。
2019 年的時(shí)候�,微軟將 Jupyter Notebook 引入其中�����,并于 2021 年 2 月默認為所有客戶(hù)啟用�����。
尷尬的是����,由于此功能中存在配置錯誤���,導致 Wiz 能夠訪(fǎng)問(wèn)攻擊向量����、觸發(fā)權限提升�、破壞 Notebook 的容器��,并且獲得了對 Cosmos DB 托管的主密鑰�����、以及 Notebook blob 存儲訪(fǎng)問(wèn)令牌的訪(fǎng)問(wèn)權限��。
接著(zhù)�,攻擊者可獲得受害者賬戶(hù)托管的所有數據的管理員訪(fǎng)問(wèn)權限��。在密鑰泄露后����,相關(guān)數據也可通過(guò)公共互聯(lián)網(wǎng)進(jìn)行操縱����。
Wiz 于 8 月 9 日發(fā)現了該漏洞��,并于 8 月 12 日向微軟通報�����。慶幸的是����,這家雷德蒙德科技巨頭在 48 小時(shí)后便禁用了 Cosmos DB 中的 Jupyter Notebook �。
此外據路透社報道�����,微軟已于今日完成了這個(gè)問(wèn)題的修復����,并開(kāi)始向客戶(hù)通知更換他們的私鑰���。該公司在郵件中稱(chēng):
我們立即修復了該問(wèn)題��,以確??蛻?hù)安全和受到保護����,同時(shí)感謝安全研究人員的漏洞披露方面的協(xié)調幫助
目前沒(méi)有跡象表明有研究人員(Wiz)之外的外部實(shí)體可訪(fǎng)問(wèn)主讀寫(xiě)密鑰�。
Wiz 警告稱(chēng)��,即使微軟已經(jīng)完成了漏洞修補���,客戶(hù)也應該全面替換他們的密鑰 —— 因為現有的密鑰��,仍可用于訪(fǎng)問(wèn)他們的數據�。
具體說(shuō)來(lái)是����,2021 年 2 月之后創(chuàng )建的每個(gè) Cosmos DB 賬戶(hù)��、或自推出以來(lái)使用 Jupyter Notebook 的每個(gè)賬戶(hù)��,都會(huì )受到該漏洞的影響����。
最后��,Wiz 因向官方披露了這個(gè)存在兩年多的漏洞���,而獲得了微軟的 40000 美元賞金�。
?�。?a href="http://www.ikjki.com/wechat/">邯鄲小程序開(kāi)發(fā))
