微軟又現資安危機!雲端客戶數據庫遭暴露,駭客可隨意更改刪除

作者 | 發布日期 2021 年 08 月 27 日 9:11 | 分類 Microsoft , 資訊安全 , 雲端 Telegram share ! follow us in feedly


微軟再度出現資安漏洞!根據路透社報導,微軟 27 日警告雲端運算客戶,旗下 Azure 旗艦產品 Cosmos 資料庫有漏洞,駭客有能力讀取更改甚至刪除主要資料庫。

這個漏洞是由網路安全公司 Wiz 的研究小組發現,它發現自己能訪問數千家公司所持有來控制「資料庫訪問權」的密鑰。由於微軟無法自行更改這些密鑰,因此週四發信給客戶,提醒他們建立新的密鑰。

另外,微軟同意向 Wiz 支付 4 萬美元,感謝 Wiz 發現漏洞並報告。

根據微軟發信給客戶的信件來看,目前漏洞已經修復,但沒有任何證據顯示漏洞遭利用,「目前沒有跡象表明,除了研究人員(Wiz)以外的外部實體能存取主要密鑰。」

Wiz 技術長 Ami Luttwak 為微軟雲端安全部門的前技術長。Luttwak 認為,這是最危險的雲端運算漏洞,因為有心人士能進入 Azure 中央資料庫,隨意取得任何客戶資料庫的存取權限。

Luttwak 研究團隊 8 月 9 日發現名為「ChaosDB」的問題,並於 12 日通知微軟。

今年 6 月微軟就出現資安漏洞,去年底發起 SolarWinds 攻擊事件的俄羅斯駭客組織 Nobelium,今年 5 月中旬取得微軟客戶存取權限,取得客戶微軟訂閱資訊,並攻擊其他三名客戶。

(首圖來源:微軟

延伸閱讀: