خبر

  • تک بورد - مایکروسافت به مشتریان هشدار می دهد که آسیب پذیری Azure Cosmos DB پایگاه های اطلاعاتی آنها را برای سال ها نشان داده است

    مایکروسافت به مشتریان هشدار می دهد که آسیب پذیری Azure Cosmos DB پایگاه های اطلاعاتی آنها را برای سال ها نشان داده است
    27 روز و 2 ساعت قبل

    چرا اهمیت دارد: مایکروسافت به عنوان بخشی از انتقال خود به یک شرکت ابری ، فضیلت فرضی تحول دیجیتال را تشویق کرده و سازمان ها را تشویق کرده است تا مشاغل خود را از محیط داخلی به ابر Azure منتقل کنند. محققان امنیتی مدتهاست در مورد کابوس های احتمالی امنیتی که ممکن است رخ دهد هشدار داده اند ، و اکنون مایکروسافت مجبور است به مشتریان خود اعتراف کند که یک آسیب پذیری در پایگاه داده پرچمدار Azure \ Cosmos DB

    مایکروسافت روز پنجشنبه به بسیاری از مشتریان رایانش ابری خود هشدار داد که بیش از دو سال است که داده های آنها مستعد حملات است. به طور خاص ، یک آسیب پذیری موجود در پایگاه داده Cosmos DB Azure به بازیگر مخرب اجازه می دهد پایگاه های اصلی بیش از 3000 سازمان را در همه اندازه ها بخواند ، تغییر دهد و حتی حذف کند ، از جمله ExxonMobil ، Walgreens ، Coca Cola ، Symantec ، بیمه متقابل Zeiss و Liberty.

    این نقص توسط شرکت امنیتی Wiz کشف شد که نام آن را "ChaosDB" گذاشت. محققان توضیح دادند که سوء استفاده آنها از زنجیره ای از تنظیمات نادرست در ویژگی تجسم نوت بوک مشتری استفاده می کند. که مایکروسافت در سال 2019 به Cosmos DB اضافه کرد. در فوریه امسال ، این ویژگی به طور خودکار برای همه DB های Cormos روشن شد.

    به زبان ساده ، Wiz راهی پیدا کرد که به هر کاربری اجازه می دهد کنترل کامل مجموعه عظیمی از پایگاه های داده تجاری ، از جمله پایگاه داده مرکزی Azure. محققان در 12 آگوست این موضوع را به مایکروسافت اطلاع دادند و دومی توانست در 48 ساعت پس از گزارش این مشکل را کاهش دهد ، که عملکرد قابل احترامی است.

    به عنوان احتیاط ، Wiz توصیه می کند که همه Cosmos DB مشتریان بدون توجه به اینکه از مایکروسافت اعلانی دریافت کرده اند یا نه ، کلیدهای اصلی دسترسی خود را می چرخانند و بازسازی می کنند. با وجود شدت ChaosDB ، نه Wiz و نه مایکروسافت هیچ نشانه ای مبنی بر اینکه شخص دیگری به جز محققان قادر به سوء استفاده از این آسیب پذیری نبوده است. رویترز گزارش می دهد که Wiz برای کشف و گزارش نقص 40،000 دلار پاداش دریافت کرد. پس از شکست فاجعه بار SolarWinds ، غول ردموند مجبور شد حداقل با ده گروه هکر که سوء استفاده های Microsoft Exchange Server را هدف قرار داده اند ، برخورد کند ، و اخیراً ، یک آسیب پذیری سرسخت چاپگر در ویندوز که احتمالاً ماه ها این شرکت را درگیر خود می کند.





خبرهای دیگر از امنیت