En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>網(wǎng)安動(dòng)態(tài)> 云數(shù)據(jù)庫(kù)嚴(yán)重漏洞或泄露訪(fǎng)問(wèn)密鑰,微軟警告數(shù)千客戶(hù)抓緊處置

云數(shù)據(jù)庫(kù)嚴(yán)重漏洞或泄露訪(fǎng)問(wèn)密鑰,微軟警告數(shù)千客戶(hù)抓緊處置

文章

2021-09-06瀏覽次數(shù):268

根據(jù)相關(guān)郵件及一位網(wǎng)絡(luò)安全研究人員的證實(shí),微軟本周四(8月26日)向包括全球多家巨頭企業(yè)在內(nèi)的云服務(wù)客戶(hù)發(fā)布廣泛警告,稱(chēng)入侵者或有能力讀取、篡改甚至刪除其主數(shù)據(jù)庫(kù)。
這項(xiàng)漏洞來(lái)自Microsoft Azure平臺(tái)上的旗艦Cosmos DB數(shù)據(jù)庫(kù)。云安全廠(chǎng)商Wiz的研究團(tuán)隊(duì)發(fā)現(xiàn),攻擊者能夠借此漏洞掌握數(shù)千家企業(yè)日常使用的數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)密鑰。這里還有一段故事,Wiz公司首席技術(shù)官Ami Luttwak正是微軟云安全團(tuán)隊(duì)的前任首席技術(shù)官。
由于微軟無(wú)法自行更改這些密鑰,因此只能于周四向客戶(hù)發(fā)出郵件,提醒他們盡快創(chuàng)建新密鑰。根據(jù)Wiz收到的微軟郵件,微軟公司愿意為此項(xiàng)漏洞的發(fā)現(xiàn)與上報(bào)支付4萬(wàn)美元獎(jiǎng)勵(lì)。
微軟在采訪(fǎng)中證實(shí),“我們立即修復(fù)了這個(gè)問(wèn)題,確保我們的客戶(hù)受到安全保護(hù)。我們也要感謝安全研究人員在漏洞披露方面提供的支持與協(xié)助。”
微軟在寫(xiě)給客戶(hù)的郵件中提到,并無(wú)證據(jù)證明此項(xiàng)漏洞已遭利用。“目前,沒(méi)有跡象表明除Wiz研究人員之外的其他外部實(shí)體,能夠訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的主讀寫(xiě)密鑰。”
ChaosDB,史上最嚴(yán)重的云漏洞?
Luttwak在采訪(fǎng)中表示,“這是我們所能想象到的最嚴(yán)重的云漏洞,也是個(gè)早已有之的潛在隱患。經(jīng)由Azure中央數(shù)據(jù)庫(kù),我們能夠訪(fǎng)問(wèn)任何客戶(hù)的數(shù)據(jù)庫(kù)。”
Luttwak的團(tuán)隊(duì)于8月9日發(fā)現(xiàn)了這項(xiàng)漏洞并將其定名為ChaosDB,隨后于8月12日將問(wèn)題上報(bào)給微軟。
此項(xiàng)漏洞源自一款名為Jupyter Notebook的可視化工具。這款工具已經(jīng)有多年歷史,但從今年2月起才開(kāi)始在Cosmos中默認(rèn)啟用。
Luttwak指出,即使是沒(méi)有收到微軟通知的客戶(hù),其密鑰仍有可能遭到攻擊者的竊取,因此請(qǐng)立即更改密鑰以防遭到未授權(quán)訪(fǎng)問(wèn)。換言之,微軟只是向那些他們認(rèn)為可能受到影響的客戶(hù)發(fā)出了警報(bào)。
微軟則回應(yīng)稱(chēng),“可能受到影響的客戶(hù)都已收到我們發(fā)布的通知”,但并未做出進(jìn)一步解釋。
微軟近期頻頻曝出重大安全問(wèn)題
就在幾個(gè)月之前,微軟才剛剛經(jīng)歷一輪安全危機(jī)的洗禮。曾經(jīng)入侵SolarWinds的疑似俄羅斯政府支持黑客團(tuán)伙再度出手,盜取大量微軟產(chǎn)品源代碼。而在發(fā)布補(bǔ)丁之后,仍有大批黑客成功闖入Exchange電子郵件服務(wù)器。
另外,微軟最近發(fā)布的一個(gè)導(dǎo)致計(jì)算機(jī)被接管的打印機(jī)缺陷修復(fù)補(bǔ)丁也出現(xiàn)問(wèn)題,需要回爐重造。上周,美國(guó)政府也就另一項(xiàng)Exchange漏洞向客戶(hù)發(fā)布緊急警告,稱(chēng)已經(jīng)有勒索軟件團(tuán)伙開(kāi)始利用此項(xiàng)漏洞、呼吁各家客戶(hù)馬上安裝幾個(gè)月前就已發(fā)布的補(bǔ)丁。
但Azure上的問(wèn)題尤其令人不安,畢竟微軟及外部安全專(zhuān)家一直在催促企業(yè)客戶(hù)放棄自有基礎(chǔ)設(shè)施,依靠云環(huán)境提升業(yè)務(wù)安全性。
盡管云攻擊確實(shí)較為罕見(jiàn),然而一旦問(wèn)題發(fā)生,引發(fā)的破壞性可能更強(qiáng)。更重要的是,不少攻擊事件從未對(duì)外公開(kāi)。某家與聯(lián)邦政府簽約的研究實(shí)驗(yàn)室專(zhuān)門(mén)跟蹤軟件中的所有已知安全漏洞,并按嚴(yán)重程度對(duì)其進(jìn)行評(píng)級(jí)。但Luttwak強(qiáng)調(diào),目前還不存在針對(duì)云架構(gòu)漏洞的同類(lèi)系統(tǒng),因此很多關(guān)鍵漏洞仍未向用戶(hù)披露。
文章轉(zhuǎn)載自安全內(nèi)參