微软再度出现资安漏洞!根据路透社报导,微软 27 日警告云端运算客户,旗下 Azure 旗舰产品 Cosmos 数据库有漏洞,骇客有能力读取更改甚至删除主要数据库。
这个漏洞是由网络安全公司 Wiz 的研究小组发现,它发现自己能访问数千家公司所持有来控制“数据库访问权”的密钥。由于微软无法自行更改这些密钥,因此周四发信给客户,提醒他们建立新的密钥。
另外,微软同意向 Wiz 支付 4 万美元,感谢 Wiz 发现漏洞并报告。
根据微软发信给客户的信件来看,目前漏洞已经修复,但没有任何证据显示漏洞遭利用,“目前没有迹象表明,除了研究人员(Wiz)以外的外部实体能存取主要密钥。”
Wiz 技术长 Ami Luttwak 为微软云端安全部门的前技术长。Luttwak 认为,这是最危险的云端运算漏洞,因为有心人士能进入 Azure 中央数据库,随意取得任何客户数据库的存取权限。
Luttwak 研究团队 8 月 9 日发现名为“ChaosDB”的问题,并于 12 日通知微软。
今年 6 月微软就出现资安漏洞,去年底发起 SolarWinds 攻击事件的俄罗斯骇客组织 Nobelium,今年 5 月中旬取得微软客户存取权限,取得客户微软订阅资讯,并攻击其他三名客户。
- Microsoft warns thousands of cloud customers of exposed databases
(首图来源:微软)
延伸阅读:
- 资安股齐喷!Google、微软将斥百亿美元加强网络安全
- 两大电竞潮牌有漏洞!鼠标键盘接上电脑就能获得最高系统权限
