微软Azure 曝史上“最严重”漏洞?微软也难以回应云安全质疑
日期:2021-09-01  来源:[db:来源] 

8 月 26 日,云安全供应商 Wiz 宣布,在 Microsoft Azure 的托管数据库服务 Cosmos DB 中发现了一个漏洞, Wiz 将其命名为“Chaos DB”,攻击者可以利用该漏洞获得该服务上每个数据库的读 / 写访问权限。尽管 Wiz 在两周前才发现了该漏洞,但该公司表示,该漏洞已经在系统中存在“至少几个月,甚至几年”。

“Chaos DB”还引起了美国国土安全部网络安全和基础设施安全局 (CISA) 的关注,CISA  强烈建议 Azure Cosmos DB 客户重新生成密钥,并查看 Microsoft 关于如何 保护 Azure Cosmos DB 数据访问的指南。

Wiz 在发布的公告中形容 ChaosDB 是 “Azure 云平台中前所未有的严重漏洞”。该漏洞不需要任何先前访问目标环境的权限就会影响数千个组织,包括众多财富 500 强公司。Wiz 首席技术官 Ami Luttwak 将其描述为“你能想象到的、最严重的云漏洞”,并补充道,“这是 Azure 的中央数据库,我们能够访问我们想要的任何客户数据库。”

被告知存在漏洞后,微软安全团队禁用了易受攻击的 Notebook 功能,并通知超过 30% 的 Cosmos DB 客户需要手动轮换访问密钥以减少风险,这些是在 Wiz 探索漏洞一周左右内启用了 Jupyter Notebook 功能的客户。此外,微软还向 Wiz 支付了 40,000 美元的赏金。目前,微软安全团队已经修复了该漏洞。

但此前被问及当 Jupyter Notebook 功能被错误配置时是否有两年完整的日志,或者是否使用了其他方法来排除访问滥用时,微软没有直接给出答案。据悉,Wiz 四个创始人都曾在 Microsoft Azure 负责解决安全问题。Wiz 表示,虽然与微软在研究中有密切合作,但微软拒绝透露如何确保早期客户的数据安全。

微软首席执行官萨蒂亚·纳德拉 (Satya Nadella) 曾表示,自从客户开始采用云解决方案,两年的数字化转型工作在两个月内就可以完成。Gartner 数据预测,到 2025 年,全球企业云技术使用率将达 100%,企业传统数据中心将关闭 90%。

然而, 随着云被越来越多的企业应用,一些典型的云安全问题也开始显现。

  • 网络钓鱼:随着员工拿到更多企业 SaaS 帐户的密钥,他们的登录便会面临更大的网络钓鱼风险。在早期,许多此类钓鱼攻击主要以 COVID-19 为诱饵。谷歌 在 2020 年 4 月声称每天要阻止 1800 万封与大流行有关的恶意网络钓鱼电子邮件。由于凭证填充攻击,超过 50 万个 Zoom 帐户被发现在暗网上出售。

  • 错误配置:这可能有两种形式。第一种是在视频会议等应用程序中没有打开正确的安全和隐私设置,可能会把你的聊天内容泄露给窃听者。这就是 Zoombombing 的风险所在,尽管 Zoom 后来大大改进了内置安全功能,并默认开启了许多最重要的设置。第二种错误配置可能更危险,它使我们回到多云和混合云复杂性的问题上。云厂商经常让存储桶向所有人开放,越来越多的黑客正在扫描这些暴露的数据库。

  • 漏洞:人类容易犯错,他们的代码也是如此。在大流行期间,在 Zoom 和其他 SaaS 应用程序中发现了重大的零日漏洞,这可能使攻击者能够远程控制用户的设备。托管在云中的内部 Web 应用程序也面临风险。据估计,去年有超过 20% 的漏洞是由基本的 Web 应用程序攻击造成的。

    (原文:https://mp.weixin.qq.com/s/vN8xaHLTqaTOdhMP4Dx9PQ​)


收藏本页