0 commenti 690 Guarda 1 minutes Leggi

La scoperta è stata fatta dal team di ricerca Wiz ed ha denominato la scoperta #ChaosDB.

CosmoDB è il servizio di punta dedicato ai database che è la punta di diamante di Azure, come si può evincere dal sito ufficiale, è utilizzato da diverse grosse aziende a livello mondiale compresi Coca-Cola, Citrix, Zeiss, Symantec e molti altri.

Come funziona l’attacco?

Il team Wiz, grazie a diverse vulnerabilità riscontrate in alcune funzionalità Cosmos DB, sono riusciti ad aver l’accesso ed il pieno controllo dei database, potenzialmente vuol dire che un qualsiasi utente in grado di sfruttare le medesime vulnerabilità potrebbe avere il pieno accesso e controllo dei dati di centinaia (se non migliaia) aziende in tutto il mondo.

Scoperta nuova vulnerabilità in CosmoDB di Azure: accesso completo ed illimitato ai dati

Microsoft nel febbraio 2021 ha implementato una funzionalità denominata Jupiter Notebook che permette ai clienti di accedere e visualizzare i propri dati creando delle viste personalizzate, una serie di impostazioni errate in questa funzionalità ha permesso di eseguire un escalation dei privilegi, ottenendo così l’accesso alle chiavi primarie dell’account.

Successivamente con queste chiavi primarie è possibile ottenere l’accesso amministrativo completo a tutti i dati archiviati negli account Cosmos DB.

Le contromisure

Microsoft è stata prontamente informata del problema, nel giro di 48h il team di sicurezza ha prontamente disabilitato la funzionalità Jupiter Notebook, inviando email con istruzioni specifiche agli utenti a “rischio. Eventualmente, seguire questo articolo per rigenerare le chiavi primarie.

Approfondimento disponibile nella pagina ufficiale WIZ

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.