Microsoft предупредила тысячи своих клиентов о том, что в облачном сервисе компании Azure найдена критическая уязвимость. Она позволяет злоумышленникам читать, изменять или даже удалять документы из базы данных Cosmos DB Microsoft Azure.
Об уязвимости рассказали специалисты по компьютерной безопасности из компании Wiz. Они выявили дыру в безопасности 1 августа. Группа обнаружила, что посредством уязвимости можно получить доступ к ключам, контролирующим доступ к базам данных, хранящимся в тысячах компаний.
В Wiz напомнили, что в 2019 году Microsoft добавила в Cosmos DB функцию Jupyter Notebook, которая позволяет клиентам визуализировать свои данные и создавать настраиваемые представления. Эта функция была автоматически включена для всех в феврале 2021 года.
Однако серия неверных конфигураций в блокноте открыла новый вектор атаки. Контейнер для записной книжки позволил передать привилегии другим клиентским книжкам.
В результате злоумышленник может получить доступ к первичным ключам Cosmos DB клиентов и другим секретам с высокой степенью секретности, таким как токен доступа к хранилищу больших двоичных объектов записной книжки.
Microsoft не может изменить эти ключи самостоятельно и попросила своих клиентов создать новые. Как отмечается в письме, пока нет никаких доказательств того, что уязвимостью кто-то воспользовался.
В письме исследователям Wiz Microsoft согласилась заплатить компании $ 40 000 за обнаружение уязвимости. Исследователи безопасности заявили, что служба Microsoft своевременно отреагировала на информацию об угрозе: «Мы редко видим, чтобы службы безопасности действовали так быстро! Они отключили уязвимую функцию в течение 48 часов после того, как мы сообщили об этом». Однако эксперты отметили, что корпорация предупредила об уязвимости только тех клиентов, которые были затронуты в течение периода исследования. В Wiz полагают, что риску могут подвергнуться многие другие клиенты Cosmos DB. По мнению исследователей, уязвимость использовалась как минимум несколько месяцев, а возможно, и лет.
В августе Microsoft раскрыла тарифы на облачный сервис Windows 365 Cloud PC для корпоративных пользователей. Подписка с минимальной конфигурацией облачного ПК с одним виртуальным процессором, 2 ГБ ОЗУ и 64 ГБ хранилища стоит от 1 620 ₽ в месяц для одного пользователя. Максимальная конфигурация с восемью виртуальными процессорами, 32 ГБ ОЗУ и 512 ГБ для хранения данных будет стоить 10 665 ₽ в месяц.
