A Microsoft sofreu um segundo grande susto de dados nesta semana. Após um vazamento do PowerApps que expôs 38 milhões de registros privados, um bug do Microsoft Azure permitiu que os dados fossem disponibilizados online. Na verdade, essa vulnerabilidade significa que os dados foram expostos por até dois anos.
A empresa de segurança Wiz descobriu e divulgou o problema, encontrado no Microsoft Azure Cosmos DB. Especificamente, os dados de mais de 3.300 clientes estão abertos e disponíveis online sem restrições. Os atores de ameaças podem acessar essas informações e usá-las em um ataque cibernético.
O Azure Cosmos DB foi anunciado no Build 2017. É um serviço de banco de dados em nuvem, uma plataforma totalmente nova criada do zero. Ele permite que os clientes forneçam serviços de nuvem em escala planetária e aplicativos de dados enormes. A Microsoft descreve o Cosmos DB como o primeiro serviço desse tipo com garantia de tempo de atividade, consistência, taxa de transferência e latência no 99º percentil.
Propaganda
Ami Luttwak, diretora de tecnologia da Wiz, diz que o perigo desse vazamento não deve ser subestimado.
“Esta é a pior vulnerabilidade de nuvem que você pode imaginar. Este é o banco de dados central do Azure e conseguimos acessar qualquer banco de dados de clientes que queríamos.”
Os problemas vêm do recurso Jupyter Notebook que a Microsoft adicionou ao Azure Cosmos DB em 2019. Embora essa ferramenta permita que os usuários criem exibições personalizadas de seus dados, as configurações incorretas permitem que os invasores explorem o Jupyter Notebook para acessar os dados do cliente.
Ameaça em andamento
Isso é possível desde 2019, mas o problema é pior agora porque a Microsoft tornou o Jupyter Notebook um recurso automático no início deste ano. Wiz conseguiu aproveitar a vulnerabilidade para obter acesso ao Azure Cosmos DB e acessar permissões de leitura, exclusão e gravação do usuário.
Wiz informou a Microsoft há duas semanas e a empresa lançou um patch. No entanto, a empresa está abrindo o capital porque a Microsoft não consegue alterar as chaves de acesso dos clientes. Os usuários devem saber alterar manualmente as chaves para evitar a vulnerabilidade.
A Microsoft já informou cerca de 30% de seus clientes Cosmos DB, mas Wiz quer uma divulgação pública para ajudar mais clientes. Falando à Bloomberg, a Microsoft diz “Não há evidências de que essa técnica seja explorada por agentes mal-intencionados”.
A empresa pagou a Wiz US$ 40.000 por descobrir a falha.
Dica do dia: Você às vezes enfrenta problemas com a pesquisa do Windows 10 em que ela não encontra arquivos ou retorna resultados? Confira nosso tutorial para ver como corrigir a pesquisa do Windows 10 por meio de vários métodos.
Propaganda
