fbpx
24 сентября, 2021
IT и компьютерная техника Топ новости

Microsoft предупредила клиентов о критической уязвимости в Azure Cosmos DB

Microsoft предупредила тысячи своих клиентов о том, что в облачном сервисе компании Azure найдена критическая уязвимость. Она позволяет злоумышленникам читать, изменять или даже удалять документы из базы данных Cosmos DB Microsoft Azure.

Microsoft предупредила клиентов о критической уязвимости в Azure Cosmos DB

Об уязвимости рассказали специалисты по компьютерной безопасности из компании Wiz. Они выявили дыру в безопасности 1 августа. Группа обнаружила, что посредством уязвимости можно получить доступ к ключам, контролирующим доступ к базам данных, хранящимся в тысячах компаний.

В Wiz напомнили, что в 2019 году Microsoft добавила в Cosmos DB функцию Jupyter Notebook, которая позволяет клиентам визуализировать свои данные и создавать настраиваемые представления. Эта функция была автоматически включена для всех в феврале 2021 года.

Microsoft предупредила клиентов о критической уязвимости в Azure Cosmos DB

Однако серия неверных конфигураций в блокноте открыла новый вектор атаки. Контейнер для записной книжки позволил передать привилегии другим клиентским книжкам.

Microsoft предупредила клиентов о критической уязвимости в Azure Cosmos DB

В результате злоумышленник может получить доступ к первичным ключам Cosmos DB клиентов и другим секретам с высокой степенью секретности, таким как токен доступа к хранилищу больших двоичных объектов записной книжки.

Microsoft не может изменить эти ключи самостоятельно и попросила своих клиентов создать новые. Как отмечается в письме, пока нет никаких доказательств того, что уязвимостью кто-то воспользовался.

В письме исследователям Wiz Microsoft согласилась заплатить компании $ 40 000 за обнаружение уязвимости. Исследователи безопасности, что служба Microsoft своевременно отреагировала на информацию об угрозе: «Мы редко видим, чтобы службы безопасности действовали так быстро! Они отключили уязвимую функцию в течение 48 часов после того, как мы сообщили об этом». Однако эксперты отметили, что корпорация предупредила об уязвимости только тех клиентов, которые были затронуты в течение периода исследования. В Wiz полагают, что риску могут подвергнуться многие другие клиенты Cosmos DB. По мнению исследователей, уязвимость использовалась как минимум несколько месяцев, а возможно, и лет.

В августе Microsoft раскрыла тарифы на облачный сервис Windows 365 Cloud PC для корпоративных пользователей. Подписка с минимальной конфигурацией облачного ПК с одним виртуальным процессором, 2 ГБ ОЗУ и 64 ГБ хранилища стоит от 1 620 ₽ в месяц для одного пользователя. Максимальная конфигурация с восемью виртуальными процессорами, 32 ГБ ОЗУ и 512 ГБ для хранения данных будет стоить 10 665 ₽ в месяц.

Related Posts

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *