安全公司Wiz的研究人员称,微软Azure的Cosmos DB存在一系列漏洞,导致该公司数千名企业客户的账户和数据库“完全(和)不受限制地访问”周四报道两周后,该公司通知了该问题。
微软在周四的一封电子邮件中警告了客户这个问题,建议他们创建新的数据库访问密钥,并表示没有发现漏洞被利用的证据,据路透社报道。在一份声明中,该公司称赞研究人员遵循了负责任的披露做法。
这是微软技术最近一系列安全问题中的最新一起,包括一次引人注目的Exchange Server黑客事件今年早些时候和另一个促使美国政府上周发出警告.这些问题表明,加强软件漏洞仍然是改善网络安全的关键之一。
微软首席执行官萨蒂亚·纳德拉是本周与乔·拜登总统一起参加白宫网络安全峰会的科技高管之一,他承诺会参加在未来五年内,将其在网络安全方面的支出增加四倍。
安全研究员Nir Ohfeld和Sagi Tzadik,他把这个漏洞命名为“ChaosDB”,他称赞微软在收到通知48小时内迅速采取行动关闭了这一易受攻击的功能,但警告说“客户仍然可能受到影响,因为他们的主访问密钥可能被暴露。”
“近年来,随着越来越多的公司转向云计算,数据库暴露变得非常普遍,而罪魁祸首通常是客户环境中的错误配置。在这种情况下,客户没有过错,”他们写道。“相反,Cosmos DB功能中的一系列缺陷造成了一个漏洞,允许任何用户下载、删除或操作大量商业数据库,以及对Cosmos DB底层架构的读写访问。”
微软在给路透社的一份声明中表示,它“立即解决了这个问题,以保证我们客户的安全和保护。”