Cloudbeveiligingsbedrijf Wiz onthult dat de Cosmos DB in Microsoft Azure gebruikt kon worden om elke Azure-gebruiker volledige beheerderstoegang te geven. Dit zou kwaadwillenden in staat stellen om data te lezen, schrijven en verwijderen. De fout in Azure is inmiddels verholpen.
Door een serie kwetsbaarheden in de Jupyter Notebook-functie van Cosmos DB te gebruiken, kan een aanvaller informatie inzien over het Cosmos DB Jupyter Notebook, legt Wiz uit. De aanvaller krijgt vervolgens een set aan inloggegevens voor het Cosmos DB account, het Jupyter Notebook en het Jupyter Notebook Storage-account.
Zodra kwaadwillenden deze gegevens in handen hebben, begint het feest pas echt. Ze kunnen via verschillende kanalen data bekijken, aanpassen en verwijderen in het Cosmos DB account van het doelwit.
Cosmos DB fout niet actief misbruikt
Voor de onthulling, bracht Wiz uiteraard eerst Microsoft op de hoogte van de fout. Als beloning voor het detecteren dan de kwetsbaarheid, deelde Microsoft een beloning van 40.000 dollar uit. Inmiddels heeft Microsoft de fout verholpen. Als aanvulling op het oplossen van de fout, adviseert Microsoft gebruikers van Azure om hun Cosmos DB inloggegevens zo snel mogelijk opnieuw in te stellen.
Een woordvoerder van Microsoft liet aan The Register weten dat Microsoft het probleem met Cosmos DB meteen heeft opgelost om klanten veilig en beschermd te houden. Ook bedankt Microsoft de beveiligingsonderzoekers van Wiz die de fout hebben ontdekt.
Microsoft bevestigt dat de fout niet actief is misbruikt. De kwetsbaarheid zorgde er daarom niet voor dat onbevoegden toegang tot data van klanten kregen. Alle klanten die mogelijk zijn aangetast door de fout, hebben daar een melding over gekregen, laat Microsoft nog weten.