微软警告了数千名云计算客户,包括一些世界上规模最大的企业,入侵者可能有能力阅读、改变甚至删除其主要数据库。
——摘要
8月27日消息,微软的一封电子邮件和一位网络安全研究员表示,该公司在周四警告了数千名云计算客户,包括一些世界上规模最大的企业,入侵者可能有能力阅读、改变甚至删除其主要数据库。
这一漏洞出现在微软Azure的旗舰产品Cosmos数据库中。安全公司Wiz的一个研究小组发现,它能够访问控制数千家公司持有的数据库访问权的密钥。Wiz公司首席技术官阿米·卢特瓦克(Ami Luttwak)是微软云安全集团的前首席技术官。
由于微软不能自行更改这些密钥,周四该公司给其客户发送了电子邮件,告知他们要创建新的密钥。微软发给Wiz的电子邮件显示,微软同意向Wiz支付4万美元,用于奖励其发现并报告了这一漏洞。
微软在发给客户的电子邮件中表示,没有证据表明该漏洞被黑客利用。微软在邮件中表示:“我们没有迹象表明研究人员(Wiz)之外的外部实体可以访问主读写密钥。” 有意思的是Wiz首席技术官Ami Luttwak是微软云安全集团的前首席技术官,他表示:“这是你能想象到的最糟糕的云脆弱性。这是一个长久的秘密。
这是Azure的中央数据库,我们可以访问任何我们想要的客户数据库。” Luttwak说,他的团队在8月9日发现了这个名为ChaosDB的问题,并在8月12日通知了微软。这个缺陷存在于一个名为“木星笔记本”的可视化工具中,该工具已经使用多年,但从2月份开始默认启用。
几个月之前,微软刚刚遇到了一个与安全相关的坏消息。该公司疑似被俄罗斯黑客入侵,他们盗取了微软的一些源代码。不久前,微软还重新修复了一个问题,该问题允许计算机被打印机接管。
参会丨展位、赞助
大会 · 信息
大会名称:
2021 GIDC 全球互联网数据大会—北京站
大会时间:
2021年10月21日
大会地址:
北京新世界酒店
主办方:
艾笛网 iData
协办方:
深圳大数据产业协会
华南数据中心产业联盟
点击“阅读原文”,报名参会!!