Una società di sicurezza ha scoperto una vulnerabilità in Azure che le ha permesso di accedere a molti dati dei clienti

Microsoft può essere un soggetto Grande Attacco di malware che potrebbe interessare i client del servizio cloud di Azure. Una società di sicurezza ha scoperto una vulnerabilità che le ha permesso di accedere a una grande quantità di dati.

L’azienda che ha scoperto il difetto ha avuto accesso ai suoi database ed è stata in grado di visualizzare non solo il contenuto, ma anche Modificare ed eliminare le informazioni dal database Microsoft Azure Cosmos.

Era una squadra investigativa della società di sicurezza Testimone che ha scoperto colui il quale È possibile accedere alle chiavi che controllano l’accesso ai database di migliaia di aziende. Amy Luttwak, chief technology officer di Wiz, è un ex direttore del gruppo di sicurezza cloud di Microsoft, quindi aveva anche un vantaggio nel rilevamento dei difetti.

Wiz ricorda che alcune aziende lo stanno usando Il database Cosmos è giganti come Coca-Cola, Exxon-Mobil e Citrix, Come faccio Si può vedere sul sito ufficiale da questo servizio.

Microsoft non può cambiare queste chiavi

Poiché Microsoft non può modificare queste chiavi da sola, Giovedì, invia un’email ai clienti chiedendo loro di crearne di nuovi. Microsoft ha accettato di pagare a Wiz $ 40.000 per trovare e segnalare il bug, secondo un’e-mail inviata a Wiz. Naturalmente, i portavoce di Microsoft non hanno commentato nient’altro su questo problema di sicurezza.

In un’e-mail che Redmond ha inviato a Wiz, quello che dicono dall’azienda è che Microsoft ha corretto la vulnerabilità e che Non c’erano prove di sfruttare l’errore. “Non abbiamo alcuna indicazione che le entità esterne di Wiz abbiano accesso alla chiave di lettura-scrittura primaria”, afferma l’e-mail.

“Questa è la peggiore vulnerabilità del cloud immaginabile”, ha detto Luttwak a Reuters. “Questo è il database centrale per Azure e nella nostra ricerca Possiamo accedere a qualsiasi database di tutti i clienti che volevamoLuttwak ha dichiarato: “Il team di Luttwak ha riscontrato il problema, soprannominato ChaosDB, il 9 agosto e lo ha segnalato a Microsoft il 12 agosto, sebbene fosse noto solo poche ore prima.