あるセキュリティ会社が、Microsoft Azureクラウドサービスの顧客の大量のデータにアクセスできる問題を発見しました。これは、「想像できる最悪のクラウドの脆弱性」であるとのことです。 マイクロソフトは、セキュリティ上の欠陥が悪意のある攻撃者によって悪用されたことを認識していないと述べています。
欠陥を発見した会社はデータベースにアクセスでき、コンテンツを表示するだけでなく、Cosmosデータベースの情報を変更および削除することもできました。
何千もの企業のデータベースへのアクセスを制御するキーにアクセスできることを発見したのは、セキュリティ会社Wizの研究チームでした。 Wizの最高技術責任者であるAmiLuttwakは、Microsoftのクラウドセキュリティグループの元マネージャーであるため、欠陥の発見に関しても有利に働きました。
Cosmosデータベースにアクセスするために、最初に、セキュリティ会社は顧客データベースの主キーにアクセスしました。 2019年に、MicrosoftはJupyter Notebookと呼ばれる機能をCosmosデータベースに追加しました。これにより、顧客はデータを視覚化し、カスタムビューを作成できます。 この機能は、2021年2月にすべてのCosmosデータベースで自動的に有効になりました。
Wizは、このCosmosデータベースを使用している企業の中には、このサービスの公式Webサイトにあるように、Coca-Cola、Exxon-Mobil、Citrixなどの巨人がいることを思い出させてくれます。
Microsoftはこれらのキーを変更できません
Microsoftはこれらのキー自体を変更できないため、木曜日に顧客に新しいキーを作成するように指示する電子メールを送信しました。 マイクロソフトは、バグを見つけて報告するためにWizに40,000ドルを支払うことに同意しました。 マイクロソフトの関係者は、セキュリティの問題についてこれ以上コメントしていません。
マイクロソフトがウィズに送信した電子メールの中で、同社は脆弱性を修正し、バグが悪用されたことを示す証拠はなかったと述べています。 「研究者(Wiz)の外部の外部エンティティがプライマリ読み取り/書き込みキーにアクセスしたことを示すものはありません」とメールは述べています。
「これはあなたが想像できる最悪のクラウドの脆弱性です。 それは長続きする秘密です」とWizの最高技術責任者であるAmiLuttwak氏は述べています。 「これはAzureの中央データベースであり、必要な顧客データベースにアクセスすることができました」と彼は付け加えます。