Le Falle di sicurezza di Microsoft Azure sono molto peggio del previsto

Microsoft ha avvertito migliaia dei suoi clienti Azure, incluse molte aziende Fortune 500, di una vulnerabilità che ha lasciato i loro dati completamente esposti negli ultimi due anni.
Un difetto nel prodotto Azure Cosmos DB di Microsoft ha lasciato più di 3.300 clienti di Azure appunto, scoperti dal lato stack, potenzialmente lasciando libero accesso a malintenzionati.
La vulnerabilità è stata introdotta nel 2019 quando Microsoft ha aggiunto a Cosmos DB una funzionalità di visualizzazione dei dati denominata Jupyter Notebook, attivata per impostazione predefinita per tutti i Cosmos DB nel febbraio 2021.
Un elenco di clienti Azure Cosmos DB include aziende del calibro di Coca Cola Company, Liberty Mutual Insurance, ExxonMobil e Walgreens, solo per citarne alcune.
"Questa è la peggiore vulnerabilità del cloud che si possa immaginare", ha affermato Ami Luttwak, Chief Technology Officer di Wiz, la società di sicurezza che ha scoperto il problema.
"Questo è il database centrale di Azure e siamo stati in grado di accedere a qualsiasi database avessimo voluto".
Nonostante la gravità e il rischio presentati, Microsoft non ha riscontrato alcuna prova della vulnerabilità che porta all'accesso illecito ai dati. "Non ci sono prove che questa tecnica venga sfruttata da attori malintenzionati", ha detto Microsoft a Bloomberg in una dichiarazione via e-mail.
"Non siamo a conoscenza di alcun accesso ai dati dei clienti a causa di questa vulnerabilità".
Microsoft ha pagato a Wiz $40.000 per la scoperta, secondo Reuters.
In un post dettagliato sul blog, Wiz afferma che la vulnerabilità introdotta da Jupyter Notebook ha consentito ai ricercatori dell'azienda di accedere alle chiavi primarie che proteggevano i database Cosmos DB per i clienti Microsoft.
Con dette chiavi, Wiz aveva accesso completo in lettura/scrittura/cancellazione ai dati di diverse migliaia di clienti Microsoft Azure.
Wiz afferma di aver scoperto il problema due settimane fa e Microsoft ha disabilitato la vulnerabilità entro 48 ore dalla segnalazione di Wiz. Tuttavia, ll colosso di Redmond, non può modificare le chiavi di accesso primarie dei suoi clienti, motivo per cui l'azienda ha inviato un'e-mail a tutti gli utilizzatori di Cosmos DB per modificare manualmente le chiavi e mitigare l'esposizione.
Il problema di oggi è solo l'ultimo incubo della sicurezza per Microsoft.
La società ha subito il furto di parte del codice sorgente dagli hacker di SolarWinds alla fine di dicembre, i suoi server di posta Exchange sono stati violati e implicati in attacchi ransomware a marzo e un recente difetto della stampante ha consentito agli aggressori di impossessarsi di computer con privilegi a livello di sistema.
Ma con i dati di tutto il mondo che si spostano sempre più verso servizi cloud centralizzati come Azure, la rivelazione di oggi potrebbe essere lo sviluppo più preoccupante per Microsoft.