Azure-lekken: Microsoft ontsnapt ternauwernood aan een grote ramp

Het had mis kunnen gaan: een kwetsbaarheid die aanvallers de mogelijkheid gaf om duizenden databases op te slaan Microsoft Azure-instanties Volledig lezen, wijzigen of verwijderen. Als door een wonder gebeurde er niets.

Beveiligingsbedrijf Wiz ontdekte de kwetsbaarheid in Cosmos DB en waarschuwde Microsoft. Beveiligingsonderzoekers waren hier, volgens het persbureau Reuters Krijg toegang tot de coderingssleutels waarmee legitieme gebruikers zich identificeren met de respectieve database-instantie. In het ergste geval had het ertoe kunnen leiden dat databases in applicaties van duizenden bedrijven van elke omvang plotseling verloren gingen of ermee geknoeid werden.

Hoe lang het probleem precies speelt, is niet duidelijk. De kwetsbaarheid moet echter al lang in het systeem op de loer liggen, totdat het gelukkig werd ontdekt door goedbedoelende experts. “We hebben geen bewijs dat buitenstaanders, anders dan beveiligingsonderzoekers, toegang hebben tot elementaire lees- en schrijfsleutels”, zegt een e-mail die Microsoft uit voorzorg naar alle betrokken klanten van Azure-services heeft gestuurd.

Gelieve dringend de sleutels te vernieuwen!

Het gevaar dat voortkwam uit het veiligheidsgat was echter tragisch. “Dit is de ergste kwetsbaarheid in de cloud die je je kunt voorstellen”, zegt Amy Luttwak, chief technology officer van Wiz. Hij was een voorloper op het gebied van beveiliging in de clouddivisie van Microsoft, dus hij is bekend met de technologie en architectuur die er zijn. “Dit is een centrale Azure-database en we konden deze gebruiken om toegang te krijgen tot elke klantendatabase die we wilden.”

Het Luttwak-team ontdekte de kwetsbaarheid op 9 augustus en meldde het drie dagen later aan Redmond-functionarissen na een diepgaande analyse. Er was een algemeen bedankje van Microsoft en $ 40.000 van het bug bounty-programma van de Azure-divisie.

In haar brief aan klanten vroeg Microsoft hen om nieuwe toegangssleutels te maken. Dit kan niet door de provider worden gedaan, maar is de verantwoordelijkheid van de betreffende gebruiker van de database-instances. Dit is aan te raden omdat, ondanks het gebrek aan informatie, niet kan worden uitgesloten dat sommige aanvallers geen toegang hadden tot de sleutels.

Zie ook:

Beveiliging, hiaat in de beveiliging, gegevensbescherming, beveiliging, aanval, privacy, misdaad, cryptografie, uitbuiting, cybercriminaliteit, cyberbeveiliging, hackeraanval, internetcriminaliteit, cryptografie, hacking, hackeraanval, sleutel, AVG, end-to-end-codering Slot, beveiligingsrapport, beveiliging, gegevensverwerking, encryptiesoftware, slotcode