研究人员在周六发现存储在微软公司Azure云平台中的主要数据库存在巨大缺陷时,敦促所有用户更改他们的数字访问密钥,而不仅仅是本周通知的 3,300 个。
正如路透社首次报道,一家名为 Wiz 的云安全公司的研究人员发现本月,他们本可以访问 Cosmos DB 数据库系统的大多数用户的主要数字密钥,从而窃取、更改或删除数百万条记录。
在 Wiz 的提醒下,Microsoft迅速修复了配置错误,该错误会使任何 Cosmos 用户都可以轻松进入其他客户的数据库,然后在周四通知一些用户更改他们的密钥。
微软在周五的一篇博客文章中表示,它警告在为期一周的研究期间设置了 Cosmos 访问权限的客户。它指出,没有发现任何攻击者使用相同缺陷进入客户数据的证据。
微软写道:“我们的调查显示,除了研究人员的活动之外,没有任何未经授权的访问。”“通知已发送给所有可能因研究人员活动而受到影响的客户,”它说,这可能是指该技术从 Wiz 泄露的可能性。
“虽然没有访问客户数据,但建议您重新生成主读写密钥,”它说。
美国国土安全部的网络安全和基础设施安全局在周五的公告中使用了更强硬的措辞,明确表示它不仅仅针对被通知的人。
“CISA 强烈鼓励 Azure Cosmos DB 客户滚动和重新生成他们的证书密钥,”该机构表示指导。
由 Azure 内部安全团队的四名资深人士创立的 Wiz 专家表示同意。
“在我看来,如果不是不可能的话,他们真的很难完全排除之前有人使用过它,”四人之一、Wiz 首席技术官 Ami Luttwak 说。在微软,他开发了记录云安全事件的工具。
当被问及在 Jupyter Notebook 功能配置错误时是否有完整的两年日志时,微软没有直接回答,或者是否使用了其他方法来排除访问滥用。
“我们将搜索范围扩大到研究人员的活动之外,以寻找当前和过去类似事件的所有可能活动,”发言人 Ross Richendrfer 说,拒绝回答其他问题。
Wiz 表示,微软在研究中与它密切合作,但拒绝透露如何确保早期客户是安全的。
“这太可怕了。我真的希望除了我们之外没有人发现这个错误,”Wiz 项目的主要研究人员之一 Sagi Tzadik 说。
2021-09-16
2021-09-16
2021-09-16
2021-09-16
2021-09-15
2021-09-15
2021-09-15
2021-09-15