Blog Leonardo Duarte
Azure – Microsoft alerta milhares de clientes em nuvem de bancos de dados expostos
Azure – Microsoft alerta milhares de clientes em nuvem de bancos de dados expostos
SÃO FRANCISCO, 26 ago (Reuters) – Microsoft (MSFT. O) na quinta-feira alertou milhares de seus clientes de computação em nuvem, incluindo algumas das maiores empresas do mundo, que os invasores poderiam ter a capacidade de ler, alterar ou até mesmo excluir seus principais bancos de dados, de acordo com uma cópia do e-mail e um pesquisador de segurança cibernética.
A vulnerabilidade está no principal banco de dados cosmos DB do Microsoft Azure. Uma equipe de pesquisa da empresa de segurança Wiz descobriu que era capaz de acessar chaves que controlam o acesso a bancos de dados mantidos por milhares de empresas. O diretor de tecnologia da Wiz, Ami Luttwak, é um ex-diretor de tecnologia do Grupo de Segurança em Nuvem da Microsoft.
Como a Microsoft não pode alterar essas chaves sozinha, ela enviou um e-mail para os clientes na quinta-feira dizendo-lhes para criar novas. A Microsoft concordou em pagar us$ 40.000 ao Wiz por encontrar a falha e reportá-la, de acordo com um e-mail enviado ao Wiz.
“Corrigimos esse problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob divulgação coordenada de vulnerabilidades”, disse a Microsoft à Reuters.
O e-mail da Microsoft para os clientes disse que não havia evidências de que a falha havia sido explorada. “Não temos nenhuma indicação de que entidades externas fora do pesquisador (Wiz) tiveram acesso à chave primária de leitura”, dizia o e-mail.
“Esta é a pior vulnerabilidade em nuvem que você pode imaginar. É um segredo de longa duração”, disse Luttwak à Reuters. “Este é o banco de dados central do Azure, e conseguimos ter acesso a qualquer banco de dados de clientes que quiséssemos.”
A equipe de Luttwak encontrou o problema, apelidado de ChaosDB, em 9 de agosto e notificou a Microsoft em 12 de agosto, disse Luttwak.
A falha estava em uma ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi habilitada por padrão na Cosmos a partir de fevereiro. Depois que a Reuters informou sobre a falha, Wiz detalhou o problema em um post no blog.
Luttwak disse que mesmo os clientes que não foram notificados pela Microsoft poderiam ter suas chaves roubadas pelos invasores, dando-lhes acesso até que essas chaves sejam alteradas. A Microsoft só disse aos clientes cujas chaves estavam visíveis este mês, quando Wiz estava trabalhando no problema.
A Microsoft disse à Reuters que “os clientes que podem ter sido impactados receberam uma notificação nossa”, sem elaborar.
A divulgação vem após meses de más notícias de segurança para a Microsoft. A empresa foi violada pelos mesmos supostos hackers do governo russo que se infiltraram na SolarWinds, que roubaram o código fonte da Microsoft. Em seguida, um grande número de hackers invadiu servidores de e-mail do Exchange enquanto um patch estava sendo desenvolvido.
Uma correção recente para uma falha na impressora que permitia aquisições de computadores teve que ser refeita repetidamente. Outra falha do Exchange na semana passada levou um urgente aviso do governo dos EUA de que os clientes precisam instalar patches emitidos meses atrás porque as gangues de ransomware estão agora explorando-o.
Os problemas com o Azure são especialmente preocupantes, porque a Microsoft e especialistas em segurança externa têm pressionado as empresas a abandonar a maior parte de sua própria infraestrutura e dependem da nuvem para obter mais segurança.
Mas embora os ataques de nuvens sejam mais raros, eles podem ser mais devastadores quando ocorrem. Além disso, alguns nunca são divulgados.
Um laboratório de pesquisa contratado pelo governo federal rastreia todas as falhas de segurança conhecidas no software e as classifica por gravidade. Mas não há sistema equivalente para buracos na arquitetura de nuvem, então muitas vulnerabilidades críticas permanecem não reveladas aos usuários, disse Luttwak.
Fonte: Reutes
