Microsoft warnt vor schwer­wiegender Cloud-Sicherheits­lücke

27. August 2021, 12:01
  • security
  • microsoft
  • wiz
  • datenbank
image

Die Datenbanken von Tausenden von Azure-Kunden könnten wegen einer "nie dagewesenen Schwach­stelle" exponiert sein, stellten Security-Forscher fest.

Microsoft warnt Tausende seiner Azure-Kunden, dass böswillige Akteure die Möglichkeit haben könnten, in ihre Datenbank einzudringen. Die Schwachstelle betrifft Cosmos DB.
Das Security-Unternehmen Wiz hat herausgefunden, dass Cosmos DB ausgenutzt werden kann, um jedem Azure-Benutzer vollen Administrator-Zugriff zu gewähren, einschliesslich der Fähigkeit, Daten zu lesen und zu löschen.
"Dies ist die schlimmste Cloud-Schwachstelle, die man sich vorstellen kann", sagt Wiz-CTO Ami Luttwak gegenüber 'Reuters'. "Wir waren in der Lage, Zugang zu jeder Kundendatenbank zu erhalten, die wir wollten."

"Noch nie dagewesene" Lücke

In einem Blogeintrag beschreiben die Security-Forscher von Wiz ihr Vorgehen. Vor zwei Wochen habe man die "noch die dagewesene Sicherheitslücke" gefunden, die den wichtigsten Datenbankdienst von Azure, Cosmos DB, betreffe. Tausende von Kunden, darunter auch Grossfirmen wie Coca-Cola, Exxon-Mobil und Citrix, würden Cosmos DB nutzen, um Daten zu verwalten.
Die Security-Forscher bezeichnen die Schwachstelle als #ChaosDB. Das Problem – eine Serie von Fehlkonfigurationen – betrifft ein Visualisierungstool namens Jupyter Notebook. Dieses ist schon seit Jahren verfügbar, aber seit Februar standardmässig in Cosmos DB aktiviert. Ihnen sei es gelungen, Zugang zu den Primärschlüsseln zu erhalten, die die Datenbanken sicherten, schreiben die Forscher. Mit diesen Schlüsseln habe man vollen Lese-, Schreib- und Löschzugriff auf die Daten von mehreren Tausend Microsoft-Azure-Kunden erhalten.
Microsoft habe nun Kunden per E-Mail aufgefordert, neue Schlüssel zu erstellen, schreibt 'Reuters' mit Berufung auf die Nachricht der Redmonder. "Wir haben dieses Problem sofort behoben, damit unsere Kunden sicher und geschützt sind. Wir danken den Sicherheitsforschern für ihre Arbeit im Rahmen der koordinierten Offenlegung der Schwachstelle", so Microsoft gegenüber der US-Nachrichtenagentur.
Es gebe keinen Hinweis darauf, dass die Schwachstelle ausgenutzt worden sei, fügen die Redmonder an. Laut 'Reuters' hat Microsoft 40'000 US-Dollar Prämie an Wiz für die Meldung der Schwachstelle bezahlt.

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

ChatGPT wächst so schnell wie keine andere App

Der KI-Chatbot bricht Rekorde und verzeichnet 100 Millionen aktive Nutzer innert nur 2 Monaten. Nun soll bald ein Abo-Modell eingeführt werden.

publiziert am 2.2.2023