マイクロソフトは木曜日に、世界最大の企業の一部を含む数千のクラウドコンピューティングの顧客に、侵入者がメインデータベースを読み取ったり、変更したり、削除したりする可能性があると警告しました。
この脆弱性は、MicrosoftAzureの主力製品であるCosmosDBデータベースにあります。セキュリティ会社Wizの調査チームは、何千もの会社が保有するデータベースへのアクセスを制御するキーにアクセスできることを発見しました。 Wizの最高技術責任者AmiLuttwakは、マイクロソフトのクラウドセキュリティグループの元最高技術責任者です。
Microsoftはこれらのキーを単独で変更することはできないため、木曜日に顧客に電子メールを送信して、新しいキーを作成するように指示しました。マイクロソフトは、ウィズに送信した電子メールによると、欠陥を見つけて報告するためにウィズに40,000ドル(約30万ルピー)を支払うことに同意しました。
マイクロソフトはロイター通信に対し、「お客様の安全と保護を維持するために、この問題を直ちに修正しました。脆弱性の開示を調整して作業してくれたセキュリティ研究者に感謝します」と語った。
マイクロソフトの顧客への電子メールには、欠陥が悪用されたという証拠はないと書かれていました。 「研究者(Wiz)の外部の外部エンティティが主要な読み取り/書き込みキーにアクセスできたという兆候はありません」と電子メールは述べています。
「これはあなたが想像できる最悪のクラウドの脆弱性です。それは長続きする秘密です」とLuttwakはロイターに語った。 「これはAzureの中央データベースであり、必要なすべての顧客データベースにアクセスできました。」