In der Microsoft-Cloud Azure klaffte jahrelang eine gewaltige Sicherheitslücke, die 3300 Unternehmen weltweit betrifft – darunter einige aus den Fortune 500 wie beispielsweise Coca Cola oder Exxon Mobil. Die Lücke führte dazu, dass die Daten der Betroffenen Firmen im Prinzip seit zwei Jahren offen zugänglich waren. Entdeckt wurde die Lücke von der Sicherheitsfirma Wiz, die
in einem umfangreichen Blogbeitrag den ganzen Fall erklärt (
via "The Verge"), der CTO von Wiz spricht gegenüber "The Verge" von der "schlimmsten Cloud-Schwachstelle, die man sich vorstellen kann".
Der Fehler findet sich im Virtualisierungs-Feature Jupyter Notebook in der Cosmos DB auf Azure und existiert seit 2019. Seit Februar 2021 wurde Jupyter Notebook gar für alle Cosmos-DB-Kunden per Default aktiviert. Den Whitehat-Hackern von Wiz ist es damit gelungen, den Primary Read-Write-Key der Datenbank zu erhalten, womit im Prinzip der volle Read-Write-Zugriff auf die Daten gewährleistet wird.
Microsoft hat zuvor eine Warnung von Wiz bekommen und die Lücke innerhalb von zwei Tage geschlossen. Wiz hat für die Entdeckung eine Prämie von 40'000 US-Dollar kassiert. Microsoft zufolge sei bisher kein Zugriff ausser dem von Wiz auf die Unternehmensdaten erfolgt.
Sowohl Wiz als auch Microsoft haben weitere Beiträge mit allfälligen Massnahmen und Erklärungen zur Sicherheitslücke gepostet, die
hier und
hier zu finden sind.
(win)
