Settembre 25, 2021

CiSiamo.info

Rimani aggiornato sugli ultimi sviluppi dell'Italia sul campo con le notizie basate sui fatti di Cisamos, filmati esclusivi, foto e mappe aggiornate.

Microsoft chiude la vulnerabilità nella funzionalità di Azure che ha consentito agli aggressori di accedere al database – Computer – Notizie

Il servizio Cosmos DB all’interno di Microsoft Azure ha riscontrato una vulnerabilità che ha consentito agli aggressori di ottenere l’accesso illimitato agli account e ai database di migliaia di clienti Microsoft Azure. Microsoft ha corretto la perdita e informato i clienti.

Wiz. Ricercatori di sicurezza Scopri che è possibile conoscere le chiavi primarie di Cosmos DB. Queste chiavi primarie consentono agli utenti di accedere a tutti i dati in Cosmos DB. Queste chiavi consentono agli utenti non solo di leggere i dati, ma anche di modificarli ed eliminarli.

Il problema è con Jupyter Notebook, una funzionalità all’interno di Cosmos DB che consente ai clienti di visualizzare i propri dati. Questa funzionalità è stata introdotta nel 2019 ed è stata abilitata automaticamente per tutti i client Cosmos DB lo scorso febbraio. Una serie di errori di configurazione all’interno di questa funzionalità del notebook ha portato all’apertura di un file vettori di attacco, Dicono i ricercatori.

Wiz non ha ancora rilasciato molti dettagli su queste configurazioni errate, anche se i ricercatori affermano che il contenitore del notebook è un file Escalation del franchising per altri taccuini dei clienti. con questo Onore escalation Un utente malintenzionato potrebbe ottenere l’accesso alle chiavi primarie del database Cosmos DB di un client.

I ricercatori hanno informato Microsoft, che ha dato ai ricercatori $ 40 mila e ha interrotto la funzionalità del laptop. Secondo Wiz, questa funzione è ancora disabilitata, in attesa di una correzione. Microsoft dice in un’e-mail ai clienti, che è stato visto da Reuters, che il problema è stato risolto e che non vi sono prove di abuso. Microsoft afferma solo che i ricercatori di Wiz ne erano a conoscenza.

READ  Steve Jobs mette all'asta il manuale dell'Apple II per $ 787.483 - Computer - Notizie

Per inciso, Wiz ritiene che Microsoft non abbia informato abbastanza clienti. Microsoft ha informato solo i clienti le cui chiavi erano facili da vedere questo mese, secondo i ricercatori della sicurezza. Il creatore di Azure consiglia inoltre a questi clienti di allocare le proprie chiavi. Tuttavia, i ricercatori di Wiz sostengono che la perdita è presente in Cosmos DB da febbraio 2019 e che Microsoft dovrebbe informare più clienti. La stessa Wiz ha notificato a Microsoft il problema di sicurezza il 12 agosto, due giorni dopo, la funzione Jupyter Notebook è stata disabilitata.