Microsoft हज़ारों क्लाउड ग्राहकों को खुले डेटाबेस के बारे में चेतावनी देता है

ईमेल की एक प्रति और एक साइबर सुरक्षा शोधकर्ता के अनुसार, माइक्रोसॉफ्ट ने गुरुवार को दुनिया की कुछ सबसे बड़ी कंपनियों सहित अपने हजारों क्लाउड कंप्यूटिंग ग्राहकों को चेतावनी दी कि घुसपैठिए अपने मुख्य डेटाबेस को पढ़ने, बदलने या यहां तक ​​कि हटाने की क्षमता भी रख सकते हैं।

भेद्यता Microsoft Azure के प्रमुख Cosmos DB डेटाबेस में है। सुरक्षा कंपनी विज़ की एक शोध टीम ने पाया कि यह उन कुंजियों तक पहुँचने में सक्षम है जो हज़ारों कंपनियों द्वारा रखे गए डेटाबेस तक पहुँच को नियंत्रित करती हैं। Wiz के मुख्य प्रौद्योगिकी अधिकारी अमी लुटवाक Microsoft के क्लाउड सुरक्षा समूह में पूर्व मुख्य प्रौद्योगिकी अधिकारी हैं।

चूंकि माइक्रोसॉफ्ट उन चाबियों को स्वयं नहीं बदल सकता है, इसलिए उसने गुरुवार को ग्राहकों को ईमेल करके उन्हें नई बनाने के लिए कहा। Microsoft ने Wiz को भेजे गए एक ईमेल के अनुसार, दोष का पता लगाने और उसकी रिपोर्ट करने के लिए Wiz को $40,000 का भुगतान करने पर सहमति व्यक्त की।

“हमने अपने ग्राहकों को सुरक्षित और संरक्षित रखने के लिए इस मुद्दे को तुरंत ठीक कर दिया। हम सुरक्षा शोधकर्ताओं को समन्वित भेद्यता प्रकटीकरण के तहत काम करने के लिए धन्यवाद देते हैं, ”माइक्रोसॉफ्ट ने रायटर को बताया।

ग्राहकों को Microsoft के ईमेल में कहा गया है कि इस बात का कोई सबूत नहीं है कि दोष का फायदा उठाया गया था। ईमेल में कहा गया है, “हमारे पास इस बात का कोई संकेत नहीं है कि शोधकर्ता (विज़) के बाहर की बाहरी संस्थाओं की प्राथमिक रीड-राइट कुंजी तक पहुंच थी।”

“यह सबसे खराब क्लाउड भेद्यता है जिसकी आप कल्पना कर सकते हैं। यह एक लंबे समय तक चलने वाला रहस्य है, ”लुटवाक ने रायटर को बताया। “यह Azure का केंद्रीय डेटाबेस है, और हम किसी भी ग्राहक डेटाबेस तक पहुंच प्राप्त करने में सक्षम थे जो हम चाहते थे।”

लुटवाक की टीम ने 9 अगस्त को कैओसडीबी नामक समस्या का पता लगाया और माइक्रोसॉफ्ट को 12 अगस्त को अधिसूचित किया, लुटवाक ने कहा। दोष ज्यूपिटर नोटबुक नामक एक विज़ुअलाइज़ेशन टूल में था, जो वर्षों से उपलब्ध है लेकिन फरवरी में शुरू होने वाले कॉसमॉस में डिफ़ॉल्ट रूप से सक्षम था। . रॉयटर्स द्वारा दोष की रिपोर्ट करने के बाद, विज़ ने एक ब्लॉग पोस्ट में हजारों-अज़ूर-ग्राहक-डेटाबेस के मुद्दे को विस्तृत किया।

लुटवाक ने कहा कि जिन ग्राहकों को माइक्रोसॉफ्ट द्वारा अधिसूचित नहीं किया गया है, वे भी हमलावरों द्वारा अपनी चाबियों को स्वाइप कर सकते थे, जब तक कि उन चाबियों को बदल नहीं दिया जाता। Microsoft ने केवल उन ग्राहकों को बताया जिनकी चाबियां इस महीने दिखाई दे रही थीं, जब Wiz इस मुद्दे पर काम कर रहा था।

माइक्रोसॉफ्ट ने रायटर को बताया कि “जो ग्राहक प्रभावित हो सकते हैं, उन्हें हमारी ओर से एक सूचना प्राप्त हुई है,” बिना विस्तार के।

Microsoft के लिए महीनों की खराब सुरक्षा समाचार के बाद यह खुलासा हुआ है। कंपनी को उसी संदिग्ध रूसी सरकार के हैकर्स ने भंग कर दिया था, जिसने सोलरविंड्स में घुसपैठ की थी, जिन्होंने यहां माइक्रोसॉफ्ट सोर्स कोड चुरा लिया था। जब एक पैच विकसित किया जा रहा था तब बड़ी संख्या में हैकर्स ने एक्सचेंज ईमेल सर्वर में सेंध लगाई।

कंप्यूटर अधिग्रहण की अनुमति देने वाले प्रिंटर दोष के लिए हाल ही में एक सुधार को बार-बार फिर से करना पड़ा। पिछले हफ्ते एक और एक्सचेंज दोष ने एक तत्काल अमेरिकी सरकार को चेतावनी दी कि ग्राहकों को महीनों पहले जारी किए गए पैच को स्थापित करने की आवश्यकता है क्योंकि रैंसमवेयर गिरोह अब इसका फायदा उठा रहे हैं।

Azure के साथ समस्याएं विशेष रूप से परेशान कर रही हैं, क्योंकि Microsoft और बाहरी सुरक्षा विशेषज्ञ कंपनियों को अपने स्वयं के अधिकांश बुनियादी ढांचे को छोड़ने और अधिक सुरक्षा के लिए क्लाउड पर भरोसा करने के लिए प्रेरित कर रहे हैं।

लेकिन हालांकि बादल हमले अधिक दुर्लभ हैं, लेकिन जब वे होते हैं तो वे अधिक विनाशकारी हो सकते हैं। क्या अधिक है, कुछ को कभी प्रचारित नहीं किया जाता है।

एक संघ अनुबंधित अनुसंधान प्रयोगशाला सॉफ्टवेयर में सभी ज्ञात सुरक्षा खामियों को ट्रैक करती है और उन्हें गंभीरता से रेट करती है। लेकिन क्लाउड आर्किटेक्चर में छेद के लिए कोई समान प्रणाली नहीं है, इसलिए उपयोगकर्ताओं के लिए कई महत्वपूर्ण कमजोरियां अनजान रहती हैं, लुटवाक ने कहा।

.