La debilidad de Microsoft Azure expuso a 3.300 clientes

Microsoft advirti贸 a miles de clientes de computaci贸n en la nube de Azure, incluidas varias compa帽铆as Fortune 500, de una debilidad que ha dejado sus datos completamente expuestos durante los 煤ltimos dos a帽os.

La falla de la base de datos Azure Cosmos DB de Microsoft ha dejado a m谩s de 3300 clientes de Azure totalmente expuestos a posibles atacantes desde 2019, cuando Microsoft agreg贸 una nueva funci贸n de visualizaci贸n de datos llamada Jupyter Notebook a Cosmos DB. La funci贸n se habilit贸 de forma predeterminada para todas las bases de datos de Cosmos en febrero de 2021.

“Es la peor debilidad de la nube que pueda imaginar”, dijo Ami Luttwak, director de tecnolog铆a de Wiz, la compa帽铆a de seguridad que descubri贸 el problema. 鈥淓sta es la base de datos central de Azure y pudimos acceder a cualquier otra base de datos de clientes. “

A pesar de la gravedad y los riesgos presentados, Microsoft no vio evidencia de la debilidad que condujo al acceso il铆cito a los datos. “No hay evidencia de que esta t茅cnica est茅 siendo explotada por agentes maliciosos”, dijo Microsoft a Bloomberg en un comunicado enviado por correo electr贸nico. 鈥淣o tenemos conocimiento de ning煤n dato de cliente al que se haya accedido debido a esta debilidad. Microsoft pag贸 a Wiz 40.000 d贸lares por el descubrimiento, seg煤n Reuters.

Seg煤n un art铆culo detallado en el blog de Wiz, la fragilidad introducida por Jupyter Notebook permiti贸 a los investigadores de la empresa acceder a las claves primarias que proteg铆an las bases de datos de Cosmos DB para los clientes de Microsoft. Con estas claves, Wiz ten铆a acceso completo de lectura, escritura e incluso eliminaci贸n a los datos de varios miles de clientes de Microsoft Azure.

Te puede interesar:  Apple est谩 preparando nuevos AirPods pronto

Wiz dice que descubri贸 el problema hace dos semanas y Microsoft desactiv贸 la herramienta 48 horas despu茅s de que Wiz lo inform贸. Sin embargo, Microsoft no puede cambiar las claves de acceso principales de sus clientes y es por eso que la compa帽铆a envi贸 un correo electr贸nico a los clientes de Cosmos DB para que cambiaran manualmente sus claves en un intento de reducir la exposici贸n debido a esta fragilidad.

Deja una respuesta

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *

Share This