Penyedia keamanan cloud Wiz diumumkan Kerentanan ditemukan kemarin di layanan basis data terkelola Cosmos DB Microsoft Azure yang memungkinkan penyerang yang menemukan dan mengeksploitasi bug untuk memiliki akses baca/tulis ke setiap basis data dalam layanan.
Meskipun Wiz baru menemukan kerentanan Chaos DB dua minggu lalu, perusahaan mengatakan kerentanan telah mengintai di sistem selama “setidaknya beberapa bulan, mungkin bertahun-tahun.”
Selempang di sekitar Jupyter
Pada tahun 2019 Microsoft menambahkan versi open source Buku catatan Jupyter Fungsionalitas untuk Cosmos DB. Notebook Jupyter adalah cara yang sangat mudah digunakan untuk mengimplementasikan algoritme pembelajaran mesin; Microsoft secara khusus mempromosikan notebook sebagai alat yang berguna untuk visualisasi lanjutan dari data yang disimpan di Cosmos DB.
Fungsionalitas Notebook Jupyter diaktifkan secara otomatis untuk semua instans Cosmos DB pada Februari 2021, tetapi Wiz yakin bug yang dimaksud kemungkinan sudah ada lebih jauh lagi – mungkin saat fitur tersebut pertama kali diperkenalkan oleh Cosmos DB pada 2019.
Wiz belum mengungkapkan semua detail teknis, tetapi versi singkatnya adalah bahwa kesalahan konfigurasi dalam fungsi Jupyter membuka eksploitasi untuk perluasan hak. Eksploitasi ini dapat disalahgunakan untuk mendapatkan akses ke kunci utama pelanggan Cosmos DB lainnya – menurut Wiz setiap Kunci utama dari pelanggan Cosmos DB lainnya, bersama dengan rahasia lainnya.
Akses ke kunci utama instans Cosmos DB sudah selesai. Ini memungkinkan izin baca, tulis, dan hapus penuh untuk seluruh database milik kunci ini. Ami Luttwak, chief technology officer Wiz, menggambarkan ini sebagai “kerentanan cloud terburuk yang bisa dibayangkan,” menambahkan, “Ini adalah database pusat Azure dan kami dapat mengakses database pelanggan yang kami inginkan.”
Rahasia tahan lama
Berbeda dengan rahasia dan token fana, kunci utama DB Cosmos tidak kedaluwarsa – jika sudah bocor dan tidak diubah, penyerang masih dapat menggunakan kunci ini untuk mengekstrak, memanipulasi, atau menghancurkan database di tahun-tahun mendatang.
Menurut Wiz, Microsoft hanya memberi tahu sekitar 30 persen pelanggan Cosmos DB tentang kerentanan melalui email. Email tersebut memperingatkan para pengguna ini untuk memutar kunci utama mereka secara manual untuk memastikan bahwa kunci yang bocor tidak lagi berguna bagi penyerang. Pelanggan Cosmos DB ini adalah orang-orang yang mengaktifkan fungsionalitas Notebook Jupyter selama seminggu atau lebih sehingga Wiz sedang menyelidiki kerentanannya.
Sejak Februari 2021, ketika semua instans Cosmos DB baru dibuat dengan fitur Jupyter Notebook diaktifkan, layanan Cosmos DB secara otomatis menonaktifkan fungsionalitas Notebook jika tidak digunakan dalam tiga hari pertama. Karena alasan inilah jumlah pelanggan Cosmos DB yang dilaporkan sangat rendah – sekitar 70 persen dari pelanggan bukan Diberitahu oleh Microsoft, Jupyter telah dinonaktifkan secara manual atau dinonaktifkan secara otomatis karena kurangnya penggunaan.
Sayangnya, ini tidak mencakup cakupan penuh kerentanan. Karena setiap instans Cosmos DB dengan Jupyter diaktifkan telah rentan dan kunci utama bukanlah rahasia berumur pendek, tidak mungkin untuk mengetahui dengan pasti siapa yang memiliki kunci untuk instans mana. Penyerang dengan target tertentu mungkin secara diam-diam telah mengambil kunci utama target tersebut, tetapi tidak melakukan sesuatu yang cukup buruk (belum) untuk diperhatikan.
Kami juga tidak dapat mengesampingkan skenario dampak yang lebih luas di mana penyerang hipotetis mengambil kunci utama dari setiap instans Cosmos DB baru selama jendela kerentanan tiga hari awal dan kemudian menyimpan kunci tersebut untuk kemungkinan penggunaan di masa mendatang. Kami setuju dengan Wiz – jika mesin virtual Cosmos DB Anda bisa pernah Anda harus mengaktifkan fungsi Notebook Jupyter putar kuncinya segera untuk memastikan keamanan untuk masa depan.
Jawaban dari Microsoft
Microsoft menonaktifkan kerentanan Chaos DB dua minggu lalu – kurang dari 48 jam setelah Wiz melaporkannya secara pribadi. Sayangnya, Microsoft tidak dapat mengubah kunci utama pelanggannya sendiri; tanggung jawab terletak pada pelanggan Cosmos DB putar kuncinya.
Ke Untuk Microsoft, tidak ada bukti bahwa aktor jahat menemukan dan mengeksploitasi Chaos DB sebelum ditemukan oleh Wiz. Pernyataan email dari Microsoft kepada Bloomberg menyatakan, “Kami tidak mengetahui adanya data pelanggan yang diakses sebagai akibat dari kerentanan ini.” Microsoft memperingatkan lebih dari 3.000 pelanggan tentang kerentanan dan mengeluarkan instruksi pengendalian kerusakan, dan memberi Wiz hadiah $ 40.000.
Penggemar zombie. Penggemar kopi ramah. Praktisi bir. Ahli web total. Ahli TV jahat
You may also like
-
Meta Quest 3 menampilkan penyesuaian bantuan mata
-
Pembuat Dwarf Fortress telah menghasilkan lebih dari $7 juta dalam sebulan sejak Steam diluncurkan
-
Larangan Microsoft Windows 10 diikuti oleh cara baru untuk membuat Anda memutakhirkan
-
Pengeditan profesional RAW Lightroom disinkronkan dengan Galaxy S23 dan Book 3
-
Pokemon HOME versi 2.1.0 live di ponsel sekarang, berikut adalah patch notesnya