据报道,微软向数千名云计算客户发出警示,称入侵者可能获得访问控制密钥,从而有能力读取、修改甚至删除其主要数据库,涉事核心为 Azure 的 Cosmos DB 服务。
安全研究公司 Wiz 的团队发现,部分公司环境中存在可直接访问数据库读写密钥的漏洞。Wiz 的首席技术官是 Amit Luttwak,曾任微软云安全团队的负责人。
由于微软无法自行更改已分发的密钥,已通知客户创建新的密钥。微软也向 Wiz 发出邮件,表示将为其发现并报告此漏洞提供 4 万美元的奖励。
在致客户的邮件中,微软表示漏洞已被修复,且没有证据显示该漏洞已被利用。邮件写道:“没有迹象表明除 Wiz 之外的外部实体能够访问主要的读写密钥。”
Luttwak 指出,这可能是你能想象到的最严重的云计算服务漏洞之一,也是一个长期存在的秘密:这是 Cosmos DB 的中央数据库,理论上攻击者可访问任意客户的数据库。
他透露,研究团队在 8 月 9 日发现了名为 ChaosDB 的漏洞,并在 8 月 12 日将问题报告给了微软。
几个月前,微软还曾面对另一条安全相关的坏消息,疑似被俄罗斯黑客入侵并窃取了部分源代码。最近又修复了一个允许计算机被打印机接管的问题;上周,关于 Exchange 的邮件缺陷发出紧急警告,要求客户尽快安装数月前公布的补丁,因为勒索软件团伙正在利用该缺陷。
