Um logotipo da Microsoft é retratado em uma loja no bairro de Manhattan, na cidade de Nova York, Nova York, EUA, 25 de janeiro de 2021. REUTERS / Carlo Allegri
26 de agosto de 2021
Por Joseph Menn
SAN FRANCISCO (Reuters) – A Microsoft alertou na quinta-feira milhares de seus clientes de computação em nuvem, incluindo algumas das maiores empresas do mundo, que invasores podem ter a capacidade de ler, alterar ou até mesmo excluir seus principais bancos de dados, de acordo com uma cópia do e-mail e um pesquisador de segurança cibernética.
A vulnerabilidade está no principal banco de dados Cosmos do Microsoft Azure. Uma equipe de pesquisa da empresa de segurança Wiz descobriu que ele era capaz de acessar chaves que controlam o acesso a bancos de dados mantidos por milhares de empresas. O diretor de tecnologia da Wiz, Ami Luttwak, é ex-diretor de tecnologia do Grupo de segurança em nuvem da Microsoft.
Como a Microsoft não pode alterar essas chaves por si mesma, ela enviou um e-mail aos clientes na quinta-feira, pedindo-lhes que criassem novas. A Microsoft concordou em pagar ao Wiz $ 40.000 para encontrar a falha e relatá-la, de acordo com um e-mail enviado ao Wiz.
Porta-vozes da Microsoft não comentaram imediatamente.
O e-mail da Microsoft para os clientes disse que corrigiu a vulnerabilidade e que não havia evidências de que a falha foi explorada. “Não temos nenhuma indicação de que entidades externas fora do pesquisador (Wiz) tiveram acesso à chave primária de leitura e escrita”, de acordo com uma cópia do e-mail visto pela Reuters.
“Esta é a pior vulnerabilidade de nuvem que você pode imaginar. É um segredo duradouro ”, disse Luttwak à Reuters. “Este é o banco de dados central do Azure, e fomos capazes de obter acesso a qualquer banco de dados de cliente que quiséssemos.”
A equipe de Luttwak encontrou o problema, apelidado de ChaosDB, em 9 de agosto e notificou a Microsoft em 12 de agosto, disse Luttwak.
A divulgação ocorre após meses de más notícias de segurança para a Microsoft. A empresa foi violada pelos mesmos suspeitos hackers do governo russo que se infiltraram na SolarWinds, que roubaram o código-fonte da Microsoft https://www.reuters.com/article/us-cyber-solarwinds-microsoft-idUSKBN2AI2Q0.
Uma correção recente para uma falha da impressora que permitia a aquisição de computadores teve que ser refeita várias vezes. E uma falha no e-mail do Exchange na semana passada gerou um aviso urgente do governo dos EUA https://us-cert.cisa.gov/ncas/current-activity/2021/08/21/urgent-protect-against-active-exploitation-proxyshell que os clientes precisa instalar patches lançados meses atrás porque gangues de ransomware agora estão explorando isso.
(Reportagem de Joseph Menn; Edição de William Mallard)
.
Um logotipo da Microsoft é retratado em uma loja no bairro de Manhattan, na cidade de Nova York, Nova York, EUA, 25 de janeiro de 2021. REUTERS / Carlo Allegri
26 de agosto de 2021
Por Joseph Menn
SAN FRANCISCO (Reuters) – A Microsoft alertou na quinta-feira milhares de seus clientes de computação em nuvem, incluindo algumas das maiores empresas do mundo, que invasores podem ter a capacidade de ler, alterar ou até mesmo excluir seus principais bancos de dados, de acordo com uma cópia do e-mail e um pesquisador de segurança cibernética.
A vulnerabilidade está no principal banco de dados Cosmos do Microsoft Azure. Uma equipe de pesquisa da empresa de segurança Wiz descobriu que ele era capaz de acessar chaves que controlam o acesso a bancos de dados mantidos por milhares de empresas. O diretor de tecnologia da Wiz, Ami Luttwak, é ex-diretor de tecnologia do Grupo de segurança em nuvem da Microsoft.
Como a Microsoft não pode alterar essas chaves por si mesma, ela enviou um e-mail aos clientes na quinta-feira, pedindo-lhes que criassem novas. A Microsoft concordou em pagar ao Wiz $ 40.000 para encontrar a falha e relatá-la, de acordo com um e-mail enviado ao Wiz.
Porta-vozes da Microsoft não comentaram imediatamente.
O e-mail da Microsoft para os clientes disse que corrigiu a vulnerabilidade e que não havia evidências de que a falha foi explorada. “Não temos nenhuma indicação de que entidades externas fora do pesquisador (Wiz) tiveram acesso à chave primária de leitura e escrita”, de acordo com uma cópia do e-mail visto pela Reuters.
“Esta é a pior vulnerabilidade de nuvem que você pode imaginar. É um segredo duradouro ”, disse Luttwak à Reuters. “Este é o banco de dados central do Azure, e fomos capazes de obter acesso a qualquer banco de dados de cliente que quiséssemos.”
A equipe de Luttwak encontrou o problema, apelidado de ChaosDB, em 9 de agosto e notificou a Microsoft em 12 de agosto, disse Luttwak.
A divulgação ocorre após meses de más notícias de segurança para a Microsoft. A empresa foi violada pelos mesmos suspeitos hackers do governo russo que se infiltraram na SolarWinds, que roubaram o código-fonte da Microsoft https://www.reuters.com/article/us-cyber-solarwinds-microsoft-idUSKBN2AI2Q0.
Uma correção recente para uma falha da impressora que permitia a aquisição de computadores teve que ser refeita várias vezes. E uma falha no e-mail do Exchange na semana passada gerou um aviso urgente do governo dos EUA https://us-cert.cisa.gov/ncas/current-activity/2021/08/21/urgent-protect-against-active-exploitation-proxyshell que os clientes precisa instalar patches lançados meses atrás porque gangues de ransomware agora estão explorando isso.
(Reportagem de Joseph Menn; Edição de William Mallard)
.
Discussão sobre isso post