A Microsoft alertou milhares de clientes do Azure sobre uma vulnerabilidade crítica do Cosmos DB. O bug permite a qualquer usuário o gerenciamento remoto do banco de dados, e concede direitos de administrador sem a necessidade de autorização.
O problema foi descoberto pela equipe de pesquisa da empresa de segurança em nuvem Wiz. Especialistas nomearam a vulnerabilidade CaosDB e relatou isso à Microsoft em agosto 12, 2021. Ao mesmo tempo, segundo os pesquisadores, a vulnerabilidade estava escondida no código “por pelo menos vários meses, e possivelmente anos.” A Microsoft pagou a Wiz um $40,000 taxa por esse bug.
O bug permitiu que invasores explorassem uma cadeia de bugs associados ao trabalho do código aberto Caderno Jupyter funcionalidade, que está ativado por padrão e foi projetado para ajudar os clientes a visualizar dados.
A operação bem-sucedida permitiu acesso às credenciais de outros usuários do Cosmos DB, incluindo a chave primária que permite acesso remoto completo e irrestrito a bancos de dados e contas de clientes do Microsoft Azure.
A Microsoft finalmente desativou o recurso dentro 48 horas após o recebimento do relatório e notificado sobre 30% dos clientes do Cosmos DB sobre uma possível violação de segurança.
Vale ressaltar que desde fevereiro 2021, já que todas as novas instâncias do Cosmos DB são criadas com recursos do Jupyter Notebook habilitados, O Cosmos DB desativará automaticamente a funcionalidade do Notebook se não tiver sido usado nos primeiros três dias. É por isso que o número de clientes Cosmos DB afetados é tão pequeno, estima-se que cerca 70% dos clientes desabilitaram o Jupyter Notebook manualmente ou o automatizaram. No entanto, de acordo com Wiz, o número real de usuários afetados é provavelmente muito maior, visto que a vulnerabilidade já existe há muito tempo.
A pedido da Microsoft, pesquisadores terão publicação de informações técnicas sobre o ChaosDB, pois poderia ajudar os invasores a desenvolver suas próprias explorações, mas os especialistas prometem lançar um white paper detalhado em breve.
Para mitigar riscos e bloquear possíveis ataques, A Microsoft recomenda que os clientes do Azure recriem as chaves primárias do Cosmos DB que podem ter sido roubadas antes de o recurso afetado ser desabilitado.
De acordo com a Microsoft, há nenhuma evidência que os invasores descobriram e exploraram a vulnerabilidade do Chaos DB antes dos especialistas do Wiz.
Deixe-me lembrar que também falei sobre o fato de que Microsoft alerta sobre nova vulnerabilidade no spooler de impressãosim.