据报道,微软的一封电子邮件和一位网络安全研究员表示,该公司在周四警告了数千名云计算客户,包括一些世界上规模最大的企业,入侵者可能有能力阅读、改变甚至删除其主要数据库。

这一漏洞出现在微软Azure的旗舰产品Cosmos数据库中。安全公司Wiz的一个研究小组发现,它能够访问控制数千家公司持有的数据库访问权的密钥。Wiz公司首席技术官阿米·卢特瓦克(Ami Luttwak)是微软云安全集团的前首席技术官。

由于微软不能自行更改这些密钥,周四该公司给其客户发送了电子邮件,告知他们要创建新的密钥。微软发给Wiz的电子邮件显示,微软同意向Wiz支付4万美元,用于奖励其发现并报告了这一漏洞。

微软发言人拒绝立即就此事置评。

微软在发给客户的电子邮件中写到,他们当前已经修复了这个漏洞,而且没有证据表明这个漏洞已经被利用了。该公司写道:“没有迹象表明研究人员(Wiz)以外的外部实体能够访问主要的读写密钥。”

卢特瓦克说道:“这是你能想象到的最糟糕的云计算服务漏洞。这是一个长期存在的秘密。这是Azure的中央数据库,我们能够获得我们想要的任何一个客户的数据库的访问权限。”

卢特瓦克透露,他的团队在8月9日发现了这个被命名为ChaosDB的漏洞,并且在8月12日将此问题报告给了微软。

几个月之前,微软刚刚遇到了一个与安全相关的坏消息。该公司疑似被俄罗斯黑客入侵,他们盗取了微软的一些源代码。不久前,微软还重新修复了一个问题,该问题允许计算机被打印机接管。上周,Exchange的一个电子邮件缺陷引发了美国政府的紧急警告,客户需要安装几个月前发布的补丁,因为勒索软件团伙现在正在利用这个缺陷。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2021-08-26 13:12:00
市场情报 最佳实践:青藤云安全发布国内首个K8S ATT&CK攻防矩阵
容器的灵活性和可扩展性鼓励许多开发人员将工作负载转移到Kubernetes。 <详情>
2021-08-20 13:53:08
市场情报 青藤云安全案例分享:为基于K8S的云原生应用提供安全保障
随着云计算不断发展,云原生技术日趋成熟,云基础设施的重大变化带来研发场景、软件生产模式的一系列变革。 <详情>
2021-08-17 11:04:41
云安全 云安全日报210816:红帽系统安全服务守护程序发现命令注入漏洞
8月16日,RedHat发布了安全更新,修复了红帽系统安全服务守护程序(SSSD)中发现的命令注入漏洞。 <详情>
2021-08-16 10:29:00
云资讯 又是云计算大单,亚马逊和微软又“掐”起来了
在被NSA告知AWS中标了一份云计算合同两周后,微软向美国政府问责局提交抗议文件,想争夺订单。 <详情>
2021-08-11 10:49:00
国际资讯 亚马逊AWS获得美国国家安全局百亿美元云计算合同
北京时间8月11日早间消息,据Nextgov报道,美国国家安全局(National Security Agency)将一份云计算合同交给亚马逊AWS,价值可能高达100亿美元。 <详情>