Najdena in zakrpana resna ranljivost v Microsoftovem oblaku
Jurij Kristan
28. avg 2021 ob 22:22:50
Varnostno podjetje je našlo resno ranljivost v Microsoftovem oblaku Azure, ki je napadalcem omogočala popoln prevzem nadzora nad drugimi računi. V Redmondu so luknjo zakrpali, medtem ko morajo dostopne ključe stranke zamenjati same.
Prenos informacijskih sistemov v oblak podjetjem ponuja poenostavitev vzdrževanja, a po drugi plati so odvisna od varnostne ravni, ki jo uspe ponudnik storitev v oblaku zagotavljati. Takšna podjetja imajo ponavadi cele vojske varnostnih strokovnjakov, a če se kakšna ranljivost pretolče skozi sito, je lahko skrajno uničujoča, ker je na udaru množica strank. To bi kaj lahko na lastni koži izkusili pri Microsoftu, kjer imajo v zadnjem času res polne roke dela s kibernetskimi napadi in krpanjem odprtin. Varnostno podjetje Wiz je namreč našlo resno ranljivost v osrednji storitvi upravljanja baz podatkov Cosmos DB, oblaka Azure. Poimenovali so jo Chaos DB in je napadalcu omogočala razmeroma enostavno pridobiti primarni vstopni ključ za množico drugih računov v oblaku, s tem pa povišanje privilegijev na najvišjo raven, oziroma popoln nadzor nad podatki. Glede na to, da Cosmos DB uporablja vrsta najpomembnejših podjetij na svetu, bi bile posledice obsežnejšega vdora te sorte lahko katastrofalne.
Ranljivost se je skrivala v orodju Jupyter Notebook, ki omogoča rabo strojnega učenja za različne namene, v Cosmos DB pa ga Microsoft uporablja za napredno vizualizacijo podatkov. Z letošnjim februarjem je orodje postalo privzet del Cosmos DB in v Wizu menijo, da je ranljivost obstajala najmanj od takrat, če ne še od prej. V Redmondu so nevarnost odpravili v 48 urah po tistem, ko so jih iz Wiza o njej diskretno obvestili, in kontaktirali okoli 3300 strank, ki naj bi bile v nevarnosti, saj morajo ključe za dostop do podatkov zamenjati same. To je sicer manj kot tretjina siceršnjih uporabnikov Cosmos DB, ker se funkcionalnost Jupyter Notebook kljub privzeti razpoložljivosti samodejno ugasne, če se je stranka v treh dneh od zagona instance Cosmos DB ne dotakne. Kljub temu v Wizu menijo, da bi bilo smiselno, če ključe iz previdnosti zamenjajo prav vsi uporabniki oblaka.
V Microsoftu pravijo (plačljiv vir, alternativa), da zaenkrat ni pokazateljev, da bi bila ranljivost dejansko zlorabljena. Wizu so za najdbo plačali 40.000 dolarjev, kar je precej uborna vsota, če upoštevamo, kakšne bi lahko bile posledice zlorabe. Velikan sicer namerava v naslednjih petih letih v kibernetsko varnost vložiti dodatnih 20 milijard ameriških dolarjev. Sklep je posledica sestanka pri ameriškem predsedniku Bidnu, kjer je IT podjetja pozval k izboljšanju varnostne kulture in zaostrovanju boja proti kriminalnim hekerskim akterjem. Poleg Microsofta je podobno zavezo - v višini 10 milijard dolarjev - objavil tudi Google, medtem ko so Apple, Amazon in IBM obljubili, da se bodo problematike lotili z dodatnim izobraževanjem kadra in drugimi ukrepi.