» »

Najdena in zakrpana resna ranljivost v Microsoftovem oblaku

Najdena in zakrpana resna ranljivost v Microsoftovem oblaku

Reuters - Varnostno podjetje je našlo resno ranljivost v Microsoftovem oblaku Azure, ki je napadalcem omogočala popoln prevzem nadzora nad drugimi računi. V Redmondu so luknjo zakrpali, medtem ko morajo dostopne ključe stranke zamenjati same.

Prenos informacijskih sistemov v oblak podjetjem ponuja poenostavitev vzdrževanja, a po drugi plati so odvisna od varnostne ravni, ki jo uspe ponudnik storitev v oblaku zagotavljati. Takšna podjetja imajo ponavadi cele vojske varnostnih strokovnjakov, a če se kakšna ranljivost pretolče skozi sito, je lahko skrajno uničujoča, ker je na udaru množica strank. To bi kaj lahko na lastni koži izkusili pri Microsoftu, kjer imajo v zadnjem času res polne roke dela s kibernetskimi napadi in krpanjem odprtin. Varnostno podjetje Wiz je namreč našlo resno ranljivost v osrednji storitvi upravljanja baz podatkov Cosmos DB, oblaka Azure. Poimenovali so jo Chaos DB in je napadalcu omogočala razmeroma enostavno pridobiti primarni vstopni ključ za množico drugih računov v oblaku, s tem pa povišanje privilegijev na najvišjo raven, oziroma popoln nadzor nad podatki. Glede na to, da Cosmos DB uporablja vrsta najpomembnejših podjetij na svetu, bi bile posledice obsežnejšega vdora te sorte lahko katastrofalne.

Ranljivost se je skrivala v orodju Jupyter Notebook, ki omogoča rabo strojnega učenja za različne namene, v Cosmos DB pa ga Microsoft uporablja za napredno vizualizacijo podatkov. Z letošnjim februarjem je orodje postalo privzet del Cosmos DB in v Wizu menijo, da je ranljivost obstajala najmanj od takrat, če ne še od prej. V Redmondu so nevarnost odpravili v 48 urah po tistem, ko so jih iz Wiza o njej diskretno obvestili, in kontaktirali okoli 3300 strank, ki naj bi bile v nevarnosti, saj morajo ključe za dostop do podatkov zamenjati same. To je sicer manj kot tretjina siceršnjih uporabnikov Cosmos DB, ker se funkcionalnost Jupyter Notebook kljub privzeti razpoložljivosti samodejno ugasne, če se je stranka v treh dneh od zagona instance Cosmos DB ne dotakne. Kljub temu v Wizu menijo, da bi bilo smiselno, če ključe iz previdnosti zamenjajo prav vsi uporabniki oblaka.

V Microsoftu pravijo (plačljiv vir, alternativa), da zaenkrat ni pokazateljev, da bi bila ranljivost dejansko zlorabljena. Wizu so za najdbo plačali 40.000 dolarjev, kar je precej uborna vsota, če upoštevamo, kakšne bi lahko bile posledice zlorabe. Velikan sicer namerava v naslednjih petih letih v kibernetsko varnost vložiti dodatnih 20 milijard ameriških dolarjev. Sklep je posledica sestanka pri ameriškem predsedniku Bidnu, kjer je IT podjetja pozval k izboljšanju varnostne kulture in zaostrovanju boja proti kriminalnim hekerskim akterjem. Poleg Microsofta je podobno zavezo - v višini 10 milijard dolarjev - objavil tudi Google, medtem ko so Apple, Amazon in IBM obljubili, da se bodo problematike lotili z dodatnim izobraževanjem kadra in drugimi ukrepi.

4 komentarji

delpero ::

Žalostno, kako nizko vsoto je plačal Microsoft za tako hudo varnostno luknjo.

Ghost7 ::

Zelo slab signal vsem hekerjem, da rajši za zajetnejšo vsoto ponudijo odkrite ranljivosti strankam temnega dela interneta.
https://www.bitstamp.net/ref/OM6lA9mwoeRO5Rba/

miroB ::

Sem pravilno razumel..?
Ranljivost je v CosmosDB, če ne uporabljaš te storitve v Azure, nisi bil izpostavljen...?

Aggressor ::

miroB je izjavil:

Sem pravilno razumel..?
Ranljivost je v CosmosDB, če ne uporabljaš te storitve v Azure, nisi bil izpostavljen...?


Ja. Če nisi bil blizu Jupyter Notebooku, ti ne bo hudega.
en CRISPR na dan odžene zdravnika stran


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Okenska ranljivost PrintNightmare še vedno straši

Oddelek: Novice / Varnost
76330 (5440) sija
»

Apple plačal zajetno nagrado odkriteljem ranljivosti v svojem omrežju

Oddelek: Novice / Varnost
236138 (3681) Greg91
»

Microsoftovo sanjsko poslovno leto

Oddelek: Novice / Rezultati
2311062 (9016) LeQuack
»

Odkritih 13 kritičnih ranljivosti AMD Ryzen in EPYC procesorjev (strani: 1 2 3 )

Oddelek: Novice / Procesorji
10836074 (29403) rdecaluc
»

Tudi Microsoft bo plačeval za najdene ranljivosti

Oddelek: Novice / Varnost
134805 (3459) filip007

Več podobnih tem