Microsoft avertit les clients que la vulnérabilité Azure Cosmos DB a exposé leurs bases de données pendant des années

Microsoft Avertit Les Clients Que La Vulnérabilité Azure Cosmos Db

Pourquoi c’est important : dans le cadre de sa transition vers une entreprise cloud, Microsoft a vanté les vertus supposées de la transformation numérique et encouragé les organisations à déplacer leurs activités du cloud sur site vers le cloud Azure. Les chercheurs en sécurité ont longtemps mis en garde contre les cauchemars de sécurité potentiels qui pourraient en découler, et maintenant Microsoft est obligé d’admettre à ses clients qu’une seule vulnérabilité dans la base de données phare d’Azure Cosmos DB a laissé leurs bases de données principales ouvertes pour être lues, modifiées ou même supprimées par n’importe qui. en connaissance de cause.

Microsoft a averti jeudi bon nombre de ses clients du cloud computing que depuis plus de deux ans, leurs données étaient susceptibles d’être attaquées. Plus précisément, une vulnérabilité désormais corrigée dans la base de données Cosmos DB d’Azure aurait permis à un acteur malveillant de lire, modifier et même supprimer les bases de données principales de plus de 3 000 organisations de toutes tailles, notamment ExxonMobil, Walgreens, Coca Cola, Symantec, Zeiss et Liberté Mutuelle Assurance.

La faille a été découverte par la société de sécurité Wiz, qui l’a surnommée « ChaosDB ». Les chercheurs ont expliqué que leur exploit tire parti d’une chaîne de mauvaises configurations dans la fonctionnalité de visualisation Jupiter Notebook que Microsoft a ajoutée à Cosmos DB en 2019. En février de cette année, cette fonctionnalité a été automatiquement activée pour toutes les bases de données Cormos.

Pour faire simple, Wiz a trouvé un moyen de permettre à n’importe quel utilisateur de prendre le contrôle total d’une collection massive de bases de données commerciales, y compris la base de données centrale d’Azure. Les chercheurs ont informé Microsoft du problème le 12 août, et ce dernier a pu atténuer le problème dans les 48 heures suivant son signalement, ce qui est une performance respectable.

Par mesure de précaution, Wiz recommande à tous les clients Cosmos DB d’alterner et de régénérer leurs clés d’accès primaires, qu’ils aient reçu ou non une notification de Microsoft. Malgré la gravité de ChaosDB, ni Wiz ni Microsoft n’ont trouvé d’indication que quelqu’un d’autre que les chercheurs avait été en mesure d’exploiter la vulnérabilité. Reuters rapporte que Wiz a reçu une récompense de 40 000 $ pour avoir découvert et signalé la faille.

Dans l’ensemble, Microsoft traverse une période difficile ces derniers temps. Après le fiasco de SolarWinds, le géant de Redmond a dû faire face à au moins dix groupes de pirates ciblant les exploits de Microsoft Exchange Server et, plus récemment, à une vulnérabilité tenace du spouleur d’impression dans Windows qui hantera probablement l’entreprise pendant des mois.