Microsoft Azureで発見された「想像できる最悪のクラウドの脆弱性」

1 min read
Cosmos DBは、MicrosoftのAzureクラウドインフラストラクチャに属する管理型データベースサービス製品(リレーショナルおよびnoSQLデータ構造の両方を含む)です。
大きくて / Cosmos DBは、リレーショナルとnoSQLデータ構造の両方を含む、MicrosoftのAzureクラウドインフラストラクチャに属する管理データベースサービスです。

クラウドセキュリティベンダーWiz 発表 昨日Microsoft Azureの管理型データベースサービスであるCosmos DBの脆弱性を発見したが、この脆弱性は、バグを見つけて悪用したすべての攻撃者にサービスのすべてのデータベースに対する読み取り/書き込みアクセス権を付与しました。

Wizは2週間前に「Chaos DB」という脆弱性を発見したが、同社はこの脆弱性は、「最小数ヶ月は、おそらく数年」の間、システムに隠れていたと言います。

木星の周りのパチンコ

2019年にMicrosoftは、オープンソースを追加しました。 ジュピターノートパソコン Cosmos DBの機能。 Jupyterノートパソコンは、特に機械学習アルゴリズムを実装するユーザーフレンドリーな方法です。 Microsoftは、特にCosmos DBに格納されたデータの高度な可視化のための有用なツールとしてNotebooksを促進しました。

Jupyter Notebook機能は2021年2月にすべてのCosmos DBインスタンスに対して自動的に有効にされたがWizは問題のバグが2019年Cosmos DBの最初の機能の導入にまで遡る可能性が高いと思います。

Wizはまだすべての技術的詳細を提供していませんが、短いバージョンはJupyter機能の無効な構成により、特権の昇格が悪用され始めていることです。 Wizによると、このエクスプロイトは、他のCosmos DBの顧客の主キーにアクセスするために悪用されることがあります。 どの 他のCosmos DBの顧客の主キーと他の秘密。

Cosmos DBインスタンスの基本キーへのアクセスは、「ゲームオーバー」です。 そのキーに属するすべてのデータベースの完全な読み取り、書き込み、および削除を許可します。 Wizの最高技術責任者であるAmi Luttwakはこれを「想像できる最悪のクラウドの脆弱性」と説明し、「これはAzureの中央データベースであり、私たちが望むすべての顧客データベースにアクセスすることができました。」と付け加えました。

長持ちする秘密

一時秘密とトークンとは異なり、Cosmos DBの主キーは、有効期限が切れていません。 すでに流出して変更されていない場合、攻撃者は、まだ、そのキーを使用して、今から数年後にもデータベースを流出、操作または破壊することができます。

Wizによると、MicrosoftはCosmos DB顧客の30%程度の脆弱性についての電子メールを送信しました。 電子メールは流出されたキーは、もはや攻撃者に有用ではないことを確認するために、ユーザーに主キーを手動で交換することを警告しました。 そのCosmos DBの顧客は、Wizが脆弱性を調査した一週間程度でJupyter Notebook機能を有効にして顧客です。

Jupyterノートパソコンの機能を有効にした状態で、すべての新しいCosmos DBインスタンスが生成された2021年2月からCosmos DBサービスは、最初の3日以内にノートパソコンの機能を使用しない場合、自動的に無効にしました。 これCosmos DBの顧客が通知された顧客の数が70%程度である非常に低い理由です。 〜ではない Microsoftからの通知により、Jupyterを手動で無効にしたり、使用不足のため、自動的に無効にしました。

残念ながら、これは脆弱性の全範囲を実際に説明しません。 Jupyterが有効になってすべてのCosmos DBインスタンスが脆弱であり、主キーが一時的なパスワードがないので、誰がどのようなインスタンスのキーを持っているかどうかわからん。 特定のターゲットを持つ攻撃者は静かにその標的の主キーを取得することができたが(まだ)に気付くほど不快なことはしていない。

また、攻撃者が、初期3日の脆弱性の期間中、それぞれの新しいCosmos DBインスタンスの主キーをスクラップして、後で使用できるように、キーを保存したより広範な影響のシナリオを排除することはできません。 Cosmos DBインスタンスが 常に Jupyterノートパソコンの機能を有効にする必要があります。 キーを回転 セキュリティを確保するためにすぐに。

マイクロソフトの対応

Microsoftは、Wizが非公開で報告されたか、48時間にも満たない2週間前にChaos DBの脆弱性を無効にしました。 残念ながらMicrosoftは、お客様の基本的なキー自体を変更することができません。 責任はCosmos DBお客様にあります。 そのキーを回転させる

に基づいて Microsoftによると、悪意のある行為がWiz発見以前にChaos DBを検索し悪用したという証拠がありません。 マイクロソフトがブルームバーグに送信メール声明は「私たちは、この脆弱性により、アクセスされる顧客データについて知らない」と述べた。 3,000人以上の顧客に脆弱性を警告して緩和ガイダンスを提供することに加えMicrosoftはWizに40,000ドルの賞金を支給しました。

Nakama Shizuka

"フリーランスの学生。微妙に魅力的な料理の達人。トータルベーコンの先駆者。旅行の第一人者。自慢のオーガナイザー。"

You May Also Like

More From Author

+ There are no comments

Add yours