Alerta de falha no Microsoft Azure

Pesquisadores descobrem vulnerabilidade no principal banco de dados no serviço de nuvem. Em comunicado, empresa reforça que corrigiu a falha e que não há evidência de exploração de informações sensíveis pelo cibercrime

Compartilhar:

Um dia após se encontrar com o presidente dos Estados Unidos, Joe Biden, e se comprometer em aplicar US$ 20 bilhões para aprimorar a cibersegurança do país, a Microsoft alertou milhares de seus clientes nesta quinta-feira (26) sobre uma falha que permite aos invasores acessar, ler ou até mesmo excluir seus principais bancos de dados no serviço de nuvem da companhia.

 

A vulnerabilidade está no principal banco de dados Cosmos DB da Microsoft Azure e foi descoberta por uma equipe de pesquisadores da empresa de segurança Wiz. A orientação da Microsoft é que os clientes criem novas chaves para suas bases de dados. “Corrigimos esse problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores por trabalharem sob a divulgação coordenada de vulnerabilidades”, disse a Microsoft à Reuters.

 

De acordo com o e-mail da Microsoft enviado aos clientes, não houve evidências de que a falha tivesse sido explorada pelo cibercrime. “Não temos nenhuma indicação de que entidades externas – além dos pesquisadores da Wiz – tiveram acesso à chave primária de leitura e gravação”, disse o e-mail.

 

“Esta é a pior vulnerabilidade de nuvem que você pode imaginar”, disse à Reuters Ami Luttwak, diretor de Tecnologia da Wiz e ex-diretor de Tecnologia do Grupo de segurança em nuvem da Microsoft. “Este é o banco central do Azure e fomos capazes de obter acesso a qualquer banco de dados de cliente que quiséssemos”, alerta o executivo.

 

A equipe de Luttwak encontrou o problema, apelidado de ChaosDB, em 9 de agosto e notificou a Microsoft em 12 de agosto. A falha estava em uma ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi habilitada por padrão no Cosmos a partir de fevereiro deste ano.

 

Segundo Luttwat, mesmo aqueles que não foram notificados pela Microsoft, é importante que clientes redobrem atenção e troquem suas chaves, pois se forem roubadas, poderão dar acesso ao cibercriminosos.

 

A Microsoft pagou US$ 40 mil à Wiz como recompensa pela identificação da falha.

 

Procurada pela redação da Security Report, a assessoria de imprensa da Microsoft no Brasil disponibilizou o comunicado oficial:

 

“Consertamos o problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidade.

 

Informações adicionais:

– Não há evidências de que esta técnica tenha sido explorada por atores maliciosos.

– Não temos conhecimento de nenhum dado do cliente que esteja sendo acessado devido a esta vulnerabilidade.

– Clientes que possam ter sido impactados receberam de nós uma notificação.

– Agradecemos ao Wiz.io por nos comunicar isto de forma responsável.”

 

*Com informações da Agência Reuters

 

Conteúdos Relacionados

Security Report | Destaques

Ataques de ransomware crescem 51% na América Latina, alerta relatório

Seguindo tendência contrária a outras partes do mundo, o cenário de ataques expandiu-se na região, movido especialmente por maior cooperação...
Security Report | Destaques

84% dos Líderes de SI relatam o estresse como ameaça à proteção de dados e sistemas

Além disso, o mesmo percentual afirma ouvir de suas organizações que o esgotamento é parte natural dos profissionais de Segurança...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo o Ministério da Gestão e Inovação, a Universidade Federal do Amapá,...
Security Report | Destaques

Centro de estudos do SENAI CIMATEC quer posicionar Brasil no mapa da SI Quântica

O espaço acadêmico tem recebido investimentos da Embrapii e apoio da comunidade de TI, Segurança e inovação para avançar nos...