微软警告数千名云服务客户:数据库或被暴露

安全 数据安全
微软的一封电子邮件和一位网络安全研究员表示,该公司在周四警告了数千名云计算客户,包括一些世界上规模最大的企业,入侵者可能有能力阅读、改变甚至删除其主要数据库。

[[419868]]

 8 月 27 日早间消息,据报道,微软的一封电子邮件和一位网络安全研究员表示,该公司在周四警告了数千名云计算客户,包括一些世界上规模最大的企业,入侵者可能有能力阅读、改变甚至删除其主要数据库。

[[419869]]

这一漏洞出现在微软 Azure 的旗舰产品 Cosmos 数据库中。安全公司 Wiz 的一个研究小组发现,它能够访问控制数千家公司持有的数据库访问权的密钥。Wiz 公司首席技术官阿米・卢特瓦克(Ami Luttwak)是微软云安全集团的前首席技术官。

由于微软不能自行更改这些密钥,周四该公司给其客户发送了电子邮件,告知他们要创建新的密钥。微软发给 Wiz 的电子邮件显示,微软同意向 Wiz 支付 4 万美元,用于奖励其发现并报告了这一漏洞。

微软发言人拒绝立即就此事置评。

微软在发给客户的电子邮件中写到,他们当前已经修复了这个漏洞,而且没有证据表明这个漏洞已经被利用了。该公司写道:“没有迹象表明研究人员(Wiz)以外的外部实体能够访问主要的读写密钥。”

卢特瓦克说道:“这是你能想象到的最糟糕的云计算服务漏洞。这是一个长期存在的秘密。这是 Azure 的中央数据库,我们能够获得我们想要的任何一个客户的数据库的访问权限。”

卢特瓦克透露,他的团队在 8 月 9 日发现了这个被命名为 ChaosDB 的漏洞,并且在 8 月 12 日将此问题报告给了微软。

几个月之前,微软刚刚遇到了一个与安全相关的坏消息。该公司疑似被俄罗斯黑客入侵,他们盗取了微软的一些源代码。不久前,微软还重新修复了一个问题,该问题允许计算机被打印机接管。上周,Exchange 的一个电子邮件缺陷引发了美国政府的紧急警告,客户需要安装几个月前发布的补丁,因为勒索软件团伙现在正在利用这个缺陷。

 

责任编辑:姜华 来源: 新浪科技
相关推荐

2021-08-31 16:37:37

漏洞微软网络攻击

2009-12-01 09:23:06

SQL Azure

2010-11-03 16:01:11

ExadataOracle

2011-08-03 09:33:48

云数据库云服务云计算

2010-10-09 10:34:12

SQL Azure云数

2010-11-16 09:12:42

SQL Azure

2022-04-29 14:44:50

漏洞网络攻击网络安全

2011-07-29 13:23:41

神通云库数据库

2015-01-07 11:40:25

云数据库DocumentDBAzure数据库

2020-09-11 11:18:53

腾讯云数据库服务

2021-06-09 13:41:29

Fastly服务故障云计算

2023-09-19 18:07:04

微软Oracle

2015-07-21 16:34:12

高通

2021-07-28 22:41:43

开源软件漏洞攻击

2022-02-16 15:00:24

npm 帐户劫持开发者

2022-03-07 15:21:54

微服务组件运维

2024-09-26 12:58:11

2015-05-05 11:27:01

2012-01-05 09:45:31

微软云数据库SQL Azure
点赞
收藏

51CTO技术栈公众号