Microsoft dilaporkan telah mengirim email ke ribuan pelanggan cloud-nya, termasuk beberapa perusahaan terbesar di dunia, memperingatkan potensi risiko paparan data dengan Basis data kosmos.
Berdasarkan Reuterspenyusup dapat memiliki kemampuan untuk membaca, mengubah, atau bahkan menghapus basis data utama mereka, menurut salinan email dan peneliti keamanan dunia maya.
Peneliti keamanan dunia maya yang dimaksud adalah Wiz, yang rinci dalam posting blog bagaimana itu bisa meretas ribuan database pelanggan Azure.
Cacat basis data Cosmos
Kerentanan terletak di database Cosmos unggulan Microsoft Azure, dan khususnya kunci akses yang mengontrol akses ke database yang dimiliki oleh ribuan perusahaan.
Chief Technology Officer Wiz Ami Luttwak dilaporkan adalah mantan chief technology officer di Microsoft Cloud Security Group.
Reuters melaporkan bahwa karena Microsoft tidak dapat mengubah kunci itu sendiri, itu mengirim email kepada pelanggan pada hari Kamis untuk memberi tahu mereka untuk membuat yang baru.
Dan Redmond telah setuju untuk membayar Wiz $40.000 untuk menemukan cacat dan melaporkannya, menurut email yang dikirim ke Wiz.
Email Microsoft kepada pelanggan dilaporkan mengatakan telah memperbaiki kerentanan dan tidak ada bukti bahwa kelemahan telah dieksploitasi.
“Kami tidak memiliki indikasi bahwa entitas eksternal di luar peneliti (Wiz) memiliki akses ke kunci baca-tulis utama,” menurut salinan email yang dilihat oleh Reuters.
“Ini adalah kerentanan cloud terburuk yang dapat Kamu bayangkan. Itu adalah rahasia yang bertahan lama,” kata Luttwak kepada Reuters. “Ini adalah database pusat Azure, dan kami bisa mendapatkan akses ke database pelanggan mana pun yang kami inginkan.”
Tim Luttwak menemukan masalah, dijuluki ChaosDB, pada 9 Agustus dan memberi tahu Microsoft pada 12 Agustus, kata Luttwak.
Diperlukan tindakan
Namun Wiz telah memperingatkan bahwa meskipun Microsoft bertindak cepat untuk mengatasi masalah tersebut, tampaknya banyak pelanggan CosmosDB lainnya, yang belum dikirimi email oleh Microsoft, berpotensi berisiko.
“Tim Keamanan Microsoft pantas mendapatkan pujian yang sangat besar karena mengambil tindakan segera untuk mengatasi masalah tersebut,” kata Wiz dalam posting blognya. “Kami jarang melihat tim keamanan bergerak begitu cepat! Mereka menonaktifkan fitur notebook yang rentan dalam waktu 48 jam setelah kami melaporkannya. Itu masih dimatikan untuk semua pelanggan sambil menunggu desain ulang keamanan.
“Namun, pelanggan mungkin masih terpengaruh karena kunci akses utama mereka berpotensi terekspos,” Wiz memperingatkan, “Ini adalah rahasia jangka panjang dan jika terjadi pelanggaran, penyerang dapat menggunakan kunci tersebut untuk mengekstrak database. Hari ini Microsoft memberi tahu lebih dari 30 persen pelanggan Cosmos DB bahwa mereka perlu memutar kunci akses secara manual untuk mengurangi paparan ini.”
“Microsoft hanya mengirim email kepada pelanggan yang terpengaruh selama periode penelitian kami yang singkat (sekitar seminggu),” kata Wiz. “Namun, kami yakin lebih banyak pelanggan Cosmos DB yang mungkin berisiko. Kerentanan telah dapat dieksploitasi setidaknya selama beberapa bulan, mungkin bertahun-tahun.”
“Setiap akun Cosmos DB yang menggunakan fitur notebook atau yang dibuat setelah Februari 2021 berpotensi terekspos,” para peneliti memperingatkan. “Sebagai tindakan pencegahan, kami mendesak setiap pelanggan Cosmos DB untuk mengambil langkah-langkah untuk melindungi informasi mereka.”
Insiden sebelumnya
Pengungkapan oleh Wiz tentang cacat tersebut muncul setelah sejumlah ketakutan keamanan untuk Microsoft belakangan ini – yang paling menonjol disebabkan oleh kompromi rantai pasokan SolarWinds.
Peretas yang melanggar kontraktor perangkat lunak pemerintah berhasil menanamkan perangkat lunak berbahaya di sistem internal Redmond. Peretas itu juga melihat repositori kode sumber Microsoft.
Bulan lalu Microsoft harus berulang kali merekayasa ulang perbaikan untuk cacat printer yang memungkinkan pengambilalihan komputer.
Pekan lalu, cacat email Microsoft Exchange memicu peringatan mendesak dari pemerintah AS bahwa pelanggan perlu memasang tambalan.