La scoperta è stata fatta dal team di ricerca Wiz ed ha denominato la scoperta #ChaosDB.
CosmoDB è il servizio di punta dedicato ai database che è la punta di diamante di Azure, come si può evincere dal sito ufficiale, è utilizzato da diverse grosse aziende a livello mondiale compresi Coca-Cola, Citrix, Zeiss, Symantec e molti altri.
Come funziona l’attacco?
Il team Wiz, grazie a diverse vulnerabilità riscontrate in alcune funzionalità Cosmos DB, sono riusciti ad aver l’accesso ed il pieno controllo dei database, potenzialmente vuol dire che un qualsiasi utente in grado di sfruttare le medesime vulnerabilità potrebbe avere il pieno accesso e controllo dei dati di centinaia (se non migliaia) aziende in tutto il mondo.
Microsoft nel febbraio 2021 ha implementato una funzionalità denominata Jupiter Notebook che permette ai clienti di accedere e visualizzare i propri dati creando delle viste personalizzate, una serie di impostazioni errate in questa funzionalità ha permesso di eseguire un escalation dei privilegi, ottenendo così l’accesso alle chiavi primarie dell’account.
Successivamente con queste chiavi primarie è possibile ottenere l’accesso amministrativo completo a tutti i dati archiviati negli account Cosmos DB.
Le contromisure
Microsoft è stata prontamente informata del problema, nel giro di 48h il team di sicurezza ha prontamente disabilitato la funzionalità Jupiter Notebook, inviando email con istruzioni specifiche agli utenti a “rischio”. Eventualmente, seguire questo articolo per rigenerare le chiavi primarie.
Approfondimento disponibile nella pagina ufficiale WIZ
