A Microsoft alertou milhares de clientes na última quinta-feira (26) sobre uma falha que permitia a intrusos acessar, modificar e deletar bases de dados de terceiros em seu serviço na nuvem.
O erro aconteceu na ferramenta de visualização de dados Jupyter Notebook. Ela está disponível no serviço de bases de dados Cosmos DB, usado por milhares de empresas que assinam a plataforma de nuvem Azure, da Microsoft.
A vulnerabilidade foi identificada por pesquisadores da empresa de segurança Wiz. Eles descobriram que qualquer um poderia acessar chaves que dão acesso às bases de dados de outros clientes do Cosmos DB.
A agência Reuters teve acesso a um e-mail enviado a clientes em que a Microsoft diz que não há evidências de que a falha tenha sido explorada. “Não temos indicação de que entidades externas, além do pesquisador (Wiz), tiveram acesso à chave primária”, disse a companhia.
Na mensagem, a empresa orientou seus clientes a criarem novas chaves para suas bases de dados. A empresa pagou US$ 40 mil à Wiz como recompensa pela identificação da falha.
“Consertamos o problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidade”, disse a Microsoft à Reuters.
Segundo os pesquisadores, a brecha ocorreu por conta de configurações incorretas no Jupyter Notebook, usado para selecionar dados e criar gráficos a partir deles. Ele foi adicionado ao Cosmos DB em 2019 e passou a ser ativado por padrão em fevereiro de 2021.
Um erro na solução permitia aumentar privilégios para acessar áreas de visualização de dados de outros clientes. A partir disso, era possível obter acesso às chaves primárias do Cosmos DB, que dava acesso a todas as informações de uma conta.
O diretor de tecnologia da Wiz, Ami Luttwak, afirmou que o problema, batizado de ChaosDB, foi identificado em 9 de agosto e comunicado à Microsoft em 12 de agosto.
Segundo a Wiz, a Microsoft só comunicou o caso para clientes que estavam com as chaves visíveis em agosto. Para Luttwak, porém, invasores podem ter obtidos chaves até de clientes que não foram notificados.
“Esta é a pior vulnerabilidade de nuvem que você pode imaginar. É um segredo duradouro”, disse Luttwak à Reuters. “É a base de dados central do Azure, e nós pudemos ter acesso a qualquer base de dados de consumidores que quiséssemos.”
Fonte:G1
