Un’azienda di sicurezza ha scoperto un problema che ha consentito loro di accedere a una grande quantità di dati dei clienti dei servizi cloud di Microsoft Azure, affermando che si tratta della “peggiore vulnerabilità del cloud che si possa immaginare”. Microsoft afferma di non essere a conoscenza del fatto che la falla di sicurezza sia stata sfruttata da attori malintenzionati.
L’azienda che ha scoperto il difetto è stata in grado di accedere ai database e ha avuto la possibilità non solo di visualizzare il contenuto, ma anche di modificare ed eliminare le informazioni dal database Cosmos.
È stato un team di ricerca della società di sicurezza Wiz a scoprire di essere in grado di accedere alle chiavi che controllano l’accesso ai database di migliaia di aziende. Il chief technology officer di Wiz, Ami Luttwak, è un ex manager all’interno del gruppo di sicurezza cloud di Microsoft, quindi ha anche giocato con un vantaggio quando si trattava di scoprire il difetto.
Per accedere al database Cosmos, in primo luogo, la società di sicurezza ha ottenuto l’accesso alle chiavi primarie del database del cliente. Va ricordato che nel 2019 Microsoft ha aggiunto al database Cosmos una funzionalità denominata Jupyter Notebook che consente ai clienti di visualizzare i propri dati e creare viste personalizzate. La funzionalità è stata abilitata automaticamente per tutti i database Cosmos nel febbraio 2021.
Wiz ci ricorda che alcune delle aziende che utilizzano questo database Cosmos sono giganti come Coca-Cola, Exxon-Mobil e Citrix, come si può vedere sul sito ufficiale di questo servizio.
Microsoft non può modificare queste chiavi
Dal momento che Microsoft non può modificare da sola quelle chiavi, giovedì ha inviato un’e-mail ai clienti dicendo loro di crearne di nuove. Microsoft ha accettato di pagare a Wiz $ 40.000 per aver trovato il bug e averlo segnalato. I funzionari di Microsoft non hanno commentato ulteriormente il problema di sicurezza.
In un’e-mail che Microsoft ha inviato a Wiz, la società afferma di aver corretto la vulnerabilità e che non c’erano prove che dimostrassero che il bug era stato sfruttato. “Non abbiamo alcuna indicazione che entità esterne al di fuori del ricercatore (Wiz) abbiano avuto accesso alla chiave di lettura-scrittura primaria”, afferma la posta.
“Questa è la peggiore vulnerabilità del cloud che si possa immaginare. È un segreto di lunga durata”, afferma Ami Luttwak, Chief Technology Officer di Wiz. “Questo è il database centrale di Azure e siamo stati in grado di accedere a qualsiasi database dei clienti che volevamo”, aggiunge.