北京時間 8 月 27 日早間消息,據報道,微軟的一封電子郵件和一位網絡安全研究員表示,該公司在周四警告了數千名云計算客戶,包括一些世界上規模最大的企業,入侵者可能有能力閱讀、改變甚至刪除其主要數據庫。
這一漏洞出現在微軟 Azure 的旗艦產品 Cosmos 數據庫中。安全公司 Wiz 的一個研究小組發現,它能夠訪問控制數千家公司持有的數據庫訪問權的密鑰。Wiz 公司首席技術官阿米?盧特瓦克(Ami Luttwak)是微軟云安全集團的前首席技術官。
由于微軟不能自行更改這些密鑰,周四該公司給其客戶發送了電子郵件,告知他們要創建新的密鑰。微軟發給 Wiz 的電子郵件顯示,微軟同意向 Wiz 支付 4 萬美元,用于獎勵其發現并報告了這一漏洞。
微軟發言人拒絕立即就此事置評。
微軟在發給客戶的電子郵件中寫到,他們當前已經修復了這個漏洞,而且沒有證據表明這個漏洞已經被利用了。該公司寫道:“沒有跡象表明研究人員(Wiz)以外的外部實體能夠訪問主要的讀寫密鑰。”
盧特瓦克說道:“這是你能想象到的最糟糕的云計算服務漏洞。這是一個長期存在的秘密。這是 Azure 的中央數據庫,我們能夠獲得我們想要的任何一個客戶的數據庫的訪問權限。”
盧特瓦克透露,他的團隊在 8 月 9 日發現了這個被命名為 ChaosDB 的漏洞,并且在 8 月 12 日將此問題報告給了微軟。
幾個月之前,微軟剛剛遇到了一個與安全相關的壞消息。該公司疑似被俄羅斯黑客入侵,他們盜取了微軟的一些源代碼。不久前,微軟還重新修復了一個問題,該問題允許計算機被打印機接管。上周,Exchange 的一個電子郵件缺陷引發了美國政府的緊急警告,客戶需要安裝幾個月前發布的補丁,因為勒索軟件團伙現在正在利用這個缺陷。
