微軟云中央數據庫被曝“你能想象的最可怕漏洞”,數千企業數據可被獲取
大數據文摘作品
作者:Mickey
你能想到的“最可怕的漏洞”是什么樣子的?
最近,安全家公司 Wiz 報告了 Microsoft Azure 基礎設施中的一個“超級漏洞”,這一漏洞下,黑客能夠訪問、修改和刪除數千名 Azure 客戶的數據, 微軟目前已經向客戶告知了這一漏洞的存在。
“你能想到的最可怕的漏洞”
8月9日,專業安全公司Wiz 的首席技術官 Ami Luttwak發布了一篇博客《ChaosDB:我們是如何入侵包含數千個 Azure 客戶的數據庫的》,表示他們發現了微軟Azure Cosmos DB Jupyter Notebook 功能中的漏洞,并在三天后向微軟報告。Ami Luttwak也是微軟云安全集團的前首席技術官。
Wiz在這份博客中稱,”我們能夠完全不受限制地訪問數千個 Microsoft Azure 客戶(包括許多全球500 強公司)的帳戶和數據庫。” Wit將此漏洞命名為#ChaosDB,并且公布了其入侵這一數據庫的全過程:
第 1 步:獲取 Cosmos DB 客戶的主鍵
首先,我們獲得了對客戶 Cosmos DB 主鍵的訪問權限。
2019 年,微軟向 Cosmos DB 添加了一項名為 Jupyter Notebook 的功能,讓客戶可以可視化他們的數據并創建自定義視圖。該功能已于 2021 年 2 月自動為所有 Cosmos DB 啟用。
Notebook功能中的一系列錯誤配置讓我們能夠找到新的攻擊向量。簡而言之,Notebook允許將權限擴充至其他客戶筆記本。
因此,攻擊者可以訪問客戶的 Cosmos DB 主鍵和其他高度敏感的機密,例如Notebook blob 存儲訪問令牌。
第 2 步:訪問 Cosmos DB 中的客戶數據
接下來,在收集 Cosmos DB 機密后,攻擊者可以利用這些密鑰對存儲在受影響的 Cosmos DB 帳戶中的所有數據進行管理員訪問。
我們泄露了密鑰以獲得對客戶資產和數據的長期訪問。然后,我們可以直接從 Internet 控制客戶 Cosmos DB,并擁有完整的讀/寫/刪除權限。
微軟警告全球客戶,獎勵Wiz 4萬美元
Wiz很快向微軟發布了該漏洞,微軟也因此發布了一份聲明, 稱它立即解決了這個問題。微軟感謝安全研究人員作為協調披露漏洞的一部分所做的工作。微軟還通過電子郵件告訴 Wiz,它計劃支付 40,000 美元用于報告該漏洞。
8 月 26 日,微軟通過電子郵件通知了數千名受此問題影響的云客戶。該郵件中,微軟警告其客戶,攻擊者有能力讀取、修改甚至刪除所有主要數據庫。Wiz正是通過獲得對主要讀寫密鑰的訪問權限,才能獲得對客戶數據庫的完全訪問權限。由于微軟自己無法更改這些密鑰,因此該公司要求其客戶采取行動并交換 CosmosDB 的這個主密鑰作為預防措施。雖然安全漏洞已經被關閉,但客戶應該采取這一步來最終防止可能的數據庫泄露。微軟在消息中進一步寫道,他們沒有發現第三方(Wiz 除外)訪問過這些密鑰的證據。
通知郵件還遠遠不夠
Luttwak 告訴路透社,微軟這一警告郵件還不夠:該公司僅在 Wiz 發現并調查問題的同一個月寫信給那些易受攻擊的密鑰可見的客戶。但是,攻擊者本來可以查看更多客戶的密鑰,因為該漏洞已在 2019 年首次發布 Jupyter 功能時引入。每個使用該功能的 Cosmos DB 帳戶都存在潛在風險。從今年 2 月開始,每個新創建的 Cosmos DB 帳戶都默認啟用筆記本功能至少三天,即使客戶不知道并且從未使用過該功能,他們的主鍵也可能已經暴露。
由于主鍵是一個持久的秘密,不會自動更新,即使受影響的公司關閉了 Cosmos DB 中的 Jupyter 功能,潛在的攻擊者仍然可以濫用獲得的密鑰。
盡管受到 Wiz 的批評,微軟并未通知所有將 Jupyter Notebook 功能打開到 Cosmos DB 的客戶。當被問及此事時,微軟只告訴路透社 ,它已通知可能受影響的客戶,但沒有進一步解釋該聲明。
美國國土安全部的網絡安全和基礎設施安全局也就此發布了公告,并使用了更強硬的語言,明確表示它不僅針對那些收到通知的客戶,而且針對使用 Azure Cosmos DB 的每個用戶:“CISA 強烈鼓勵 Azure Cosmos DB 客戶滾動和重新生成他們的證書密鑰”。
加密!加密!加密!
Luttwak 說:“這是你能想象到的最嚴重的云漏洞。這是 Azure 的中央數據庫,我們能夠訪問我們想要的任何客戶數據庫。”
這個 Microsoft 漏洞對于任何使用 Cosmos DB 的公司來說都是一場噩夢。成千上萬的公司,其中包括全球500 強企業在內的許多全球公司,只要使用 Miscrosoft 的 Azure Cosmos DB 來近乎實時地管理來自世界各地的大量數據,那么他們的數據現在可能面臨被黑客入侵、被盜甚至刪除的風險。
在博客中,Wiz表示,“近年來,隨著越來越多的公司遷移到云,數據庫暴露變得異常普遍,罪魁禍首通常是客戶環境中的錯誤配置。”
為了降低此類威脅發生的可能性,想要將數據移至云端的公司只有一種選擇:加密。這里的加密并不是指服務器端加密,而是真正的端到端加密,這可以讓所有人,甚至服務提供商——都無法掌握密鑰。
對 Miscrosoft 的 Azure 數據庫的黑客攻擊再次表明,加密是我們抵御惡意攻擊者和保護數據安全的最佳工具。當數據存儲在云中時,正確保護這些數據的唯一方法是端到端加密 - 沒有任何類型的后門。
【本文是51CTO專欄機構大數據文摘的原創譯文,微信公眾號“大數據文摘( id: BigDataDigest)”】
