"Sie können sich also unsere Überraschung vorstellen, als wir in der Lage waren, uneingeschränkten Zugang zu den Konten und Datenbanken von mehreren tausend Microsoft Azure-Kunden zu erhalten, darunter viele Fortune-500-Unternehmen", schreibt das Sicherheitsforschungsteam von Wiz auf seinem Blog.
Das Unternehmen sucht nach eigenen Angaben ständig nach neuen Angriffsflächen in der Cloud. Vor zwei Wochen habe man einen noch nie dagewesenen Einbruch entdeckt, der den wichtigsten Datenbankdienst von Azure, Cosmos DB, betrifft, heißt es dort weiter.
Namhafte Kunden nutzen Cosmos DB
Cosmos DB nutzen Kunden wie Coca-Cola, Exxon-Mobil und Citrix, um ihre riesige Datenmengen aus der ganzen Welt nahezu in Echtzeit zu verwalten.
Oftmals sei bei Datenbankverletzungen in der Cloud eine Fehlkonfiguration in der Kundenumgebung verantwortlich, heißt es weiter. "In diesem Fall waren nicht die Kunden schuld", betont Wiz.
Fehlkonfigurationen machen Angriff möglich
Vielmehr habe eine Anzahl von Fehlern in einer Funktion eine Lücke geschaffen, die es jedem Nutzer ermöglichte, eine riesige Sammlung kommerzieller Datenbanken herunterzuladen, zu löschen oder zu manipulieren, sowie Lese- und Schreibzugriff auf die zugrunde liegende Architektur von Cosmos DB zu erhalten, schreiben die Sicherheitsforscher. Diese Lücke auszunutzen sei trivial gewesen und keine weiteren Anmeldeinformationen seien nötig gewesen.
Das Wiz-Sicherheitsteam habe sich demnach über einige Fehlkonfigurationen Zugang zu den Primärschlüsseln von Cosmos-DB-Kunden verschafft. Solche Schlüssel ermöglichen vollen Zugriff auf Kundendaten. Man habe die Cosmos-DB eines nicht genannten Kunden direkt vom Internet aus steuern können – mit vollen Lese-, Schreib- und Löschrechten.
Schnelle Reaktion von Microsoft
Wiz lobte aber auch das Sicherheitsteam von Microsoft, das sofort gehandelt habe, um das Problem zu beheben. "Sie haben die anfällige Notebook-Funktion innerhalb von 48 Stunden nach unserer Meldung deaktiviert. Sie ist noch immer für alle Kunden deaktiviert, bis ein neues Sicherheitsdesign vorliegt", heißt es in dem Artikel.
Microsoft habe inwzwischen über 30 Prozent seiner Cosmos DB-Kunden benachrichtigt, die in dem etwa einwöchigen Untersuchungszeitraum betroffen waren, dass sie ihre Zugangsschlüssel manuell rotieren müssen, um die Gefährdung zu verringern.
Wiz verweist allerdings darauf, dass dies eventuell nicht ausreiche, da die Schwachstelle seit mindestens einigen Monaten, möglicherweise sogar seit Jahren, ausgenutzt werden hätte können. "Jedes Cosmos DB-Konto, das die Notizbuchfunktion nutzt oder nach Februar 2021 erstellt wurde, ist potenziell gefährdet. Als Vorsichtsmaßnahme bitten wir alle Cosmos DB-Kunden dringend, Maßnahmen zum Schutz ihrer Daten zu ergreifen", heißt es auf deren Website. (sg)
