Alerta de falha no Microsoft Azure

Pesquisadores descobrem vulnerabilidade no principal banco de dados no serviço de nuvem. Em comunicado, empresa reforça que corrigiu a falha e que não há evidência de exploração de informações sensíveis pelo cibercrime

Compartilhar:

Um dia após se encontrar com o presidente dos Estados Unidos, Joe Biden, e se comprometer em aplicar US$ 20 bilhões para aprimorar a cibersegurança do país, a Microsoft alertou milhares de seus clientes nesta quinta-feira (26) sobre uma falha que permite aos invasores acessar, ler ou até mesmo excluir seus principais bancos de dados no serviço de nuvem da companhia.

 

A vulnerabilidade está no principal banco de dados Cosmos DB da Microsoft Azure e foi descoberta por uma equipe de pesquisadores da empresa de segurança Wiz. A orientação da Microsoft é que os clientes criem novas chaves para suas bases de dados. “Corrigimos esse problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores por trabalharem sob a divulgação coordenada de vulnerabilidades”, disse a Microsoft à Reuters.

 

De acordo com o e-mail da Microsoft enviado aos clientes, não houve evidências de que a falha tivesse sido explorada pelo cibercrime. “Não temos nenhuma indicação de que entidades externas – além dos pesquisadores da Wiz – tiveram acesso à chave primária de leitura e gravação”, disse o e-mail.

 

“Esta é a pior vulnerabilidade de nuvem que você pode imaginar”, disse à Reuters Ami Luttwak, diretor de Tecnologia da Wiz e ex-diretor de Tecnologia do Grupo de segurança em nuvem da Microsoft. “Este é o banco central do Azure e fomos capazes de obter acesso a qualquer banco de dados de cliente que quiséssemos”, alerta o executivo.

 

A equipe de Luttwak encontrou o problema, apelidado de ChaosDB, em 9 de agosto e notificou a Microsoft em 12 de agosto. A falha estava em uma ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi habilitada por padrão no Cosmos a partir de fevereiro deste ano.

 

Segundo Luttwat, mesmo aqueles que não foram notificados pela Microsoft, é importante que clientes redobrem atenção e troquem suas chaves, pois se forem roubadas, poderão dar acesso ao cibercriminosos.

 

A Microsoft pagou US$ 40 mil à Wiz como recompensa pela identificação da falha.

 

Procurada pela redação da Security Report, a assessoria de imprensa da Microsoft no Brasil disponibilizou o comunicado oficial:

 

“Consertamos o problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidade.

 

Informações adicionais:

– Não há evidências de que esta técnica tenha sido explorada por atores maliciosos.

– Não temos conhecimento de nenhum dado do cliente que esteja sendo acessado devido a esta vulnerabilidade.

– Clientes que possam ter sido impactados receberam de nós uma notificação.

– Agradecemos ao Wiz.io por nos comunicar isto de forma responsável.”

 

*Com informações da Agência Reuters

 

Conteúdos Relacionados

Security Report | Destaques

79% dos ataques de ransomware usaram identidades como vetor de acesso inicial

Descoberta foi documentada no State of Ransomware 2026 da Sophos, anunciada hoje (15) pela empresa. De acordo com os executivos...
Security Report | Destaques

Jornada resiliente do Grupo Fácil transforma gestão de brechas e threat intelligence

A companhia de gestão empresarial em saúde contou com a parceria da Clavis para ampliar suas capacidades com SOC e...
Security Report | Destaques

É AMANHÃ! Últimas vagas abertas para Masterclass sobre Otimização de Orçamentos em TI

Conduzido pelo Líder de Tecnologia e Cibersegurança Clayton Soares, o workshop Estratégias de Otimização do Orçamento de TI é direcionado...
Security Report | Destaques

Cibersegurança automatizada sustenta inovação pioneira na Valid

Para dar suporte a uma cultura de experimentação que viabilize transformações tecnológicas, o setor de Cyber da Valid se imbuiu...