Uma empresa de segurança descobriu um problema que lhes permitia acessar uma grande quantidade de dados de clientes dos serviços de nuvem do Microsoft Azure. Eles disseram que é a “pior vulnerabilidade de nuvem que você pode imaginar”. A Microsoft afirma não estar ciente de que a falha de segurança foi explorada por agentes mal-intencionados.
A empresa que descobriu a falha conseguiu acessar bancos de dados e não apenas visualizar o conteúdo, mas também alterar e excluir informações do banco de dados Cosmos.
Foi uma equipe de pesquisa da empresa de segurança Wiz que descobriu que conseguia acessar as chaves que controlam o acesso aos bancos de dados de milhares de empresas. O diretor de tecnologia da Wiz, Ami Luttwak, é um ex-gerente do grupo de segurança em nuvem da Microsoft, então ele também teve uma vantagem quando se tratou de descobrir a falha.
Para chegar ao banco de dados Cosmos, primeiro, a empresa de segurança obteve acesso às chaves primárias do banco de dados do cliente. É importante lembrar que, em 2019, a Microsoft adicionou ao banco de dados Cosmos um recurso chamado Jupyter Notebook que permite aos clientes visualizar seus dados e criar visualizações personalizadas. O recurso foi ativado automaticamente para todos os bancos de dados do Cosmos em fevereiro de 2021.
Wiz lembra-nos que algumas das empresas que utilizam esta base de dados Cosmos são gigantes como a Coca-Cola, Exxon-Mobil e Citrix, como se pode verificar no próprio site oficial deste serviço.
A Microsoft não pode alterar essas chaves
Como a Microsoft não pode alterar essas chaves sozinha, na quinta-feira ela enviou um e-mail aos clientes dizendo-lhes para criarem novas. A Microsoft concordou em pagar ao Wiz $ 40.000 para encontrar o bug e relatá-lo. Funcionários da Microsoft não comentaram mais sobre o problema de segurança.
Em um e-mail que a Microsoft enviou para o Wiz, a empresa disse que corrigiu a vulnerabilidade e que não havia evidências mostrando que o bug foi explorado. “Não temos nenhuma indicação de que entidades externas fora do pesquisador (Wiz) tiveram acesso à chave primária de leitura e gravação”, diz o e-mail.
“Esta é a pior vulnerabilidade de nuvem que você pode imaginar. É um segredo duradouro ”, afirma o diretor de tecnologia da Wiz, Ami Luttwak. “Este é o banco de dados central do Azure e fomos capazes de obter acesso a qualquer banco de dados de cliente que quiséssemos”, acrescenta.