EXCLUSIVO Microsoft advierte a miles de clientes en la nube sobre bases de datos expuestas
SAN FRANCISCO, 26 de agosto (Reuters) – Microsoft (MSFT.O) el jueves advirtió a miles de sus clientes de servicios en la nube, incluidas algunas de las empresas más grandes del mundo, que los intrusos pueden leer, modificar o incluso eliminar sus bases de datos principales, según una copia del correo electrónico y un investigador de ciberseguridad.
La vulnerabilidad es el buque insignia de Microsoft Azure en la base de datos de Cosmos DB. Equipo de seguridad El equipo de investigación de Wiz descubrió que podía utilizar claves que controlan el acceso a las bases de datos de miles de empresas. El director de tecnología de Wi, Ami Luttwak, es un ex director de tecnología del Cloud Security Group de Microsoft.
Debido a que Microsoft no puede cambiar estas claves por sí mismo, envió un correo electrónico a los clientes el jueves instándolos a crear nuevas claves. Microsoft acordó pagar a Wiz $ 40,000 para encontrar el error e informarlo de acuerdo con el correo electrónico que envió a Wiz.
Microsoft dijo que no tiene comentarios inmediatos.
El correo electrónico de Microsoft les dijo a los clientes que había solucionado la vulnerabilidad y que no había evidencia de que la vulnerabilidad hubiera sido explotada. “No tenemos ninguna indicación de que las unidades externas fuera del investigador (Wiz) tendrían acceso a la clave primaria de lectura y escritura”, decía el correo electrónico.
“Esta es la peor vulnerabilidad en la nube que pueda imaginar. Es un secreto de larga data”, dijo Luttwak a Reuters. “Esta es la base de datos central de Azure y pudimos acceder a la base de datos de clientes que queríamos”.
El equipo de Luttwak descubrió el problema, llamado ChaosDB, el 9 de agosto y notificó a Microsoft el 12 de agosto, dijo Luttwak.
El error estaba en una herramienta de visualización llamada Jupyter Notebook, que ha estado disponible durante años, pero se introdujo de forma predeterminada en Cosmos a partir de febrero. Cuando Reuters informó del error, Wiz pregunta detallada en la publicación del blog.
Luttwak dijo que incluso los clientes no notificados por Microsoft podrían haber borrado las claves de los atacantes y haberles dado acceso hasta que esas claves fueran intercambiadas. Microsoft solo les dijo a los clientes cuyas claves estaban visibles este mes mientras Wiz estaba trabajando en el problema.
La revelación llega después de meses de malas noticias de seguridad de Microsoft. Los mismos presuntos piratas informáticos del gobierno ruso que se infiltraron en SolarWinds están destruyendo la empresa. quién robó el código fuente de Microsoft. Luego, una gran cantidad de piratas informáticos piratearon los servidores de correo electrónico de Exchange a medida que se desarrollaba el parche.
Una solución reciente para un error de la impresora que permitía que las computadoras tomaran el control tuvo que hacerse nuevamente. Otro error de Exchange la semana pasada provocó Advertencia urgente del gobierno de EE. UU. los clientes necesitarán instalar parches lanzados hace meses porque las bandas de ransomware ahora se están aprovechando de ello.
Los problemas de Azure son motivo de especial preocupación, ya que Microsoft y los expertos en seguridad de terceros han obligado a las empresas a abandonar la mayor parte de su propia infraestructura y recurrir a la seguridad en la nube.
Pero aunque los ataques a la nube son menos comunes, pueden ser más destructivos cuando ocurren. Además, algunos nunca se hacen públicos.
Un laboratorio de investigación contratado con el gobierno federal monitorea todos los errores de software conocidos y los evalúa de acuerdo con su gravedad. Pero no existe un sistema equivalente para los agujeros en la arquitectura de la nube, por lo que muchas vulnerabilidades críticas permanecen sin revelar a los usuarios, dijo Luttwak.
Informado por Joseph Menn; Editado por William Mallard
Nuestras normas: Principios de confianza de Thomson Reuters.
Especialista web. Evangelista de viajes. Alborotador. Fanático de la música amigable con los hipster. Experto en comida