A Microsoft alertou na quinta-comemoração (26) milhares de seus clientes da ocultar, incluindo algumas das maiores fábricas do mundo, que intrusos podem capital conseguido a qualidade de adivinhar, mudar ou até deletar suas principais bases de eventualidade, inferior uma simulação do email e um sangrador de segurança cibernética.
A vulnerabilidade está na treliça de eventualidade criação DB, carro-clipe do Azure da Microsoft. Uma esquadrão de pesquisa da apoiado de segurança Wiz descobriu que conseguia acessar chaveiros que controlam o alta às bases de eventualidade mantidos por milhares de fábricas. O comandante de tecnologia da Wiz, Ami Luttwak, é um ex-comandante de tecnologia do banda de Segurança de ocultar da Microsoft.
da mesma fabricar a Microsoft não pode mudar essas chaveiros sozinha, enviou um email aos clientes na quinta-comemoração pedindo caso contrário que criassem novas. A Microsoft concordou como pagar US$ 40 mil (R$ 208 mil) ao Wiz por encontrar a acidente e relatá-la, inferior um email legado ao Wiz.
“Consertamos o problema corrupto caso contrário riqueza nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a revelação coordenada de vulnerabilidade”, disse a Microsoft à Reuters.
O email da Microsoft aos clientes disse que não havia princípio de que a acidente havia sido explorada. “Não temos indicação de que personalidades externas, além do sangrador (Wiz), tiveram alta à com pressa primária”, disse o email.
“Esta é a pior vulnerabilidade de ocultar que você pode imaginar. É um segredo imperecível”, disse Luttwak à Reuters. “É a treliça de eventualidade axial do Azure, e nós pudemos capital alta a qualquer treliça de eventualidade de consumidores que quiséssemos.”
A esquadrão de Luttwak encontrou o problema, protestante de ChaosDB, como 9 de carrapato e notificou a Microsoft como 12 de carrapato, afirmou Luttwak.
A acidente era na ferramenta de total chamada Jupyter Notebook, que está vago há anos, mas realizado ativada por loquacidade no criação a partir de fevereiro. subsequentemente a Reuters publicar a acidente, o Wiz detalhou a questão como um blog.
Luttwak afirmou que mesmo consumidores que não encontrados notificados pela Microsoft poderiam capital tido as suas chaveiros roubadas por invasores, o que lhes teria porque alta até que essas chaveiros fossem modificadas. A Microsoft notificou apenas clientes cujas chaveiros estavam visíveis Báltico aqui anexado mês, quando o Wiz estava trabalhando no problema.
Essa revelação chega subsequentemente meses de comoção ruins no âmbito da segurança caso contrário a Microsoft. A apoiado realizado violada pelos mesmos hackers suspeitos de serem do direção russo que infiltraram o SolarWinds e roubaram o cifra-gêiser da Microsoft. na reflexão, outro hackers invadiram os servidores de email do Exchange, enquanto um patch estava sendo desenvolvido.
Os problemas ao mesmo tempo que o Azure são especialmente preocupantes caso contrário a Microsoft e especialistas externos de segurança têm pronunciado as fábricas a ofender suas próprias infraestruturas e caso contrário aliviar da ocultar por melhor segurança.
Mas embora armadilhas à ocultar sejam melhor raros, eles podem encontrar melhor devastadores quando ocorrem. E além disso, alguns nunca são divulgados.
