Alerta de falha no Microsoft Azure

Pesquisadores descobrem vulnerabilidade no principal banco de dados no serviço de nuvem. Em comunicado, empresa reforça que corrigiu a falha e que não há evidência de exploração de informações sensíveis pelo cibercrime

Compartilhar:

Um dia após se encontrar com o presidente dos Estados Unidos, Joe Biden, e se comprometer em aplicar US$ 20 bilhões para aprimorar a cibersegurança do país, a Microsoft alertou milhares de seus clientes nesta quinta-feira (26) sobre uma falha que permite aos invasores acessar, ler ou até mesmo excluir seus principais bancos de dados no serviço de nuvem da companhia.

 

A vulnerabilidade está no principal banco de dados Cosmos DB da Microsoft Azure e foi descoberta por uma equipe de pesquisadores da empresa de segurança Wiz. A orientação da Microsoft é que os clientes criem novas chaves para suas bases de dados. “Corrigimos esse problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores por trabalharem sob a divulgação coordenada de vulnerabilidades”, disse a Microsoft à Reuters.

 

De acordo com o e-mail da Microsoft enviado aos clientes, não houve evidências de que a falha tivesse sido explorada pelo cibercrime. “Não temos nenhuma indicação de que entidades externas – além dos pesquisadores da Wiz – tiveram acesso à chave primária de leitura e gravação”, disse o e-mail.

 

“Esta é a pior vulnerabilidade de nuvem que você pode imaginar”, disse à Reuters Ami Luttwak, diretor de Tecnologia da Wiz e ex-diretor de Tecnologia do Grupo de segurança em nuvem da Microsoft. “Este é o banco central do Azure e fomos capazes de obter acesso a qualquer banco de dados de cliente que quiséssemos”, alerta o executivo.

 

A equipe de Luttwak encontrou o problema, apelidado de ChaosDB, em 9 de agosto e notificou a Microsoft em 12 de agosto. A falha estava em uma ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi habilitada por padrão no Cosmos a partir de fevereiro deste ano.

 

Segundo Luttwat, mesmo aqueles que não foram notificados pela Microsoft, é importante que clientes redobrem atenção e troquem suas chaves, pois se forem roubadas, poderão dar acesso ao cibercriminosos.

 

A Microsoft pagou US$ 40 mil à Wiz como recompensa pela identificação da falha.

 

Procurada pela redação da Security Report, a assessoria de imprensa da Microsoft no Brasil disponibilizou o comunicado oficial:

 

“Consertamos o problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidade.

 

Informações adicionais:

– Não há evidências de que esta técnica tenha sido explorada por atores maliciosos.

– Não temos conhecimento de nenhum dado do cliente que esteja sendo acessado devido a esta vulnerabilidade.

– Clientes que possam ter sido impactados receberam de nós uma notificação.

– Agradecemos ao Wiz.io por nos comunicar isto de forma responsável.”

 

*Com informações da Agência Reuters

 

Conteúdos Relacionados

Security Report | Destaques

“Não basta proteger sistemas, temos que garantir serviços digitais com segurança ao cidadão”, diz Prodeb

Durante o Security Leaders Fortaleza 2025, a Companhia de Processamento de Dados do Estado da Bahia (Prodeb) apresentou seu novo...
Security Report | Destaques

É AMANHÃ! Security Leaders Fortaleza debaterá proteção de Ecossistemas e de Infra crítica

A capital cearense receberá a última edição regional do maior e mais qualificado evento de Cibersegurança do Brasil, antes de...
Security Report | Destaques

Banco Triângulo é impactado por incidente de Segurança digital

Caso foi apontado de início por novo alerta emitido pelo Banco Central nesse fim de semana, e confirmado em seguida...
Security Report | Destaques

Banco Central aponta novo incidente cibernético em financeira não autorizada

Em nota divulgada no último fim de semana à vertical de bancos, o Bacen alertou para a subtração indevida de...