Peneliti Menemukan Kerentanan di Microsoft Azure’s Cosmos DB

  • Whatsapp
Peneliti Menemukan Kerentanan di Microsoft Azure's Cosmos DB

 

Menurut salinan email dan peneliti keamanan siber, Microsoft memperingatkan ribuan pelanggan komputasi awannya, termasuk beberapa organisasi terbesar di dunia, bahwa penyusup mungkin membaca, memperbarui, atau bahkan menghapus basis data utama mereka. Para peneliti menemukan kerentanan “serius” di Cosmos DB, produk database unggulan Microsoft Azure, yang memungkinkan penyerang membaca, menulis, dan menghapus data dari pelanggan Cosmos DB.
Layanan database milik Microsoft Cosmos DB diluncurkan pada 2017 dan ditawarkan melalui platform komputasi awan raksasa teknologi Azure. Coca-Cola, ExxonMobil, dan Schneider Electric hanyalah beberapa organisasi besar dunia yang menggunakannya untuk mengelola data mereka. Banyak program Microsoft sendiri, seperti Skype, Xbox, dan Office, menggunakan Cosmos DB.
Tim peneliti Wiz menyadari adalah mungkin untuk mendapatkan akses ke kunci yang mengontrol akses ke database yang dimiliki oleh puluhan ribu perusahaan. Ami Luttwak, Chief Technology Officer Wiz, sebelumnya adalah CTO Grup Keamanan Cloud Microsoft. Karena Microsoft tidak dapat mengubah kunci itu sendiri, konsumen dikirimi email pada hari Kamis dan diminta untuk membuat yang baru. Menurut email dari Microsoft ke Wiz, perusahaan berjanji untuk membayar mereka $ 40.000 untuk menemukan dan melaporkan kekurangan tersebut.
Wiz, yang didirikan oleh mantan pekerja Microsoft, mengidentifikasi kelemahan tersebut pada 9 Agustus 2021. Tiga hari kemudian, perusahaan keamanan siber memberi tahu Microsoft tentang masalah tersebut. Tim keamanan Microsoft menonaktifkan fitur rentan dalam waktu 48 jam, menurut Wiz.
Tidak ada bukti bahwa cacat tersebut telah dieksploitasi, menurut pemberitahuan Microsoft kepada pelanggan. Email tersebut menyatakan, “Kami tidak memiliki indikasi bahwa entitas eksternal selain peneliti (Wiz) memiliki akses ke kunci baca-tulis utama.”
“Ini adalah kerentanan cloud terburuk yang dapat Anda bayangkan. Ini adalah rahasia jangka panjang,” kata Luttwak kepada Reuters. “Ini adalah database pusat Azure, dan kami bisa mendapatkan akses ke database pelanggan yang kami inginkan.” Bahkan klien yang belum dihubungi oleh Microsoft mungkin memiliki kunci mereka digesek oleh penyerang, memberi mereka akses sampai kunci mereka diubah, menurut Luttwak.
Cacat itu ditemukan di Jupyter Notebook, alat visualisasi yang telah tersedia selama bertahun-tahun tetapi hanya diaktifkan secara default di Cosmos pada bulan Februari.
Microsoft telah diganggu oleh berita keamanan yang buruk selama berbulan-bulan. Dugaan peretas pemerintah Rusia yang sama yang memasuki SolarWinds dan mencuri kode sumber Microsoft masuk ke perusahaan. Kemudian, saat patch sedang dibuat, sejumlah besar peretas masuk ke server email Exchange.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *