微軟警告數千名雲服務客戶：數據庫或被暴露

據報(bào)道(dào)，微軟的一封電子郵件和(hé)一位網絡安全研究員表示，該公司在周四警告了(le)數千名雲計(jì)算(suàn)客戶，包括一些(xiē)世界上(shàng)規模最大(dà)的企業，入侵者可能(néng)有能(néng)力閱讀、改變甚至删除其主要數據庫。 這(zhè)一漏洞出現(xiàn)在微軟Azure的旗艦産品Cosmos數據庫中。安全公司Wiz的一個研究小(xiǎo)組發現(xiàn)，它能(néng)夠訪問控制數千家公司持有的數據庫訪問權的密鑰。Wiz公司首席技術官阿米·盧特瓦克（Ami Luttwak）是微軟雲安全集團的前首席技術官。 由于微軟不能(néng)自(zì)行更改這(zhè)些(xiē)密鑰，周四該公司給其客戶發送了(le)電子郵件，告知(zhī)他(tā)們要創建新的密鑰。微軟發給Wiz的電子郵件顯示，微軟同意向Wiz支付4萬美(měi)元，用(yòng)于獎勵其發現(xiàn)并報(bào)告了(le)這(zhè)一漏洞。 微軟發言人拒絕立即就此事(shì)置評。 微軟在發給客戶的電子郵件中寫到(dào)，他(tā)們當前已經修複了(le)這(zhè)個漏洞，而且沒有證據表明(míng)這(zhè)個漏洞已經被利用(yòng)了(le)。該公司寫道(dào)：“沒有迹象表明(míng)研究人員（Wiz）以外(wài)的外(wài)部實體能(néng)夠訪問主要的讀寫密鑰。” 盧特瓦克說道(dào)：“這(zhè)是你(nǐ)能(néng)想象到(dào)的最糟糕的雲計(jì)算(suàn)服務漏洞。這(zhè)是一個長期存在的秘密。這(zhè)是Azure的中央數據庫，我們能(néng)夠獲得我們想要的任何一個客戶的數據庫的訪問權限。” 盧特瓦克透露，他(tā)的團隊在8月9日發現(xiàn)了(le)這(zhè)個被命名爲ChaosDB的漏洞，并且在8月12日将此問題報(bào)告給了(le)微軟。 幾個月之前，微軟剛剛遇到(dào)了(le)一個與安全相關的壞消息。該公司疑似被俄羅斯黑客入侵，他(tā)們盜取了(le)微軟的一些(xiē)源代碼。不久前，微軟還重新修複了(le)一個問題，該問題允許計(jì)算(suàn)機被打印機接管。上(shàng)周，EXCHange的一個電子郵件缺陷引發了(le)美(měi)國政府的緊急警告，客戶需要安裝幾個月前發布的補丁，因爲勒索軟件團夥現(xiàn)在正在利用(yòng)這(zhè)個缺陷。 來(lái)源：新浪科技