Um dia após se encontrar com o presidente dos Estados Unidos, Joe Biden, e se comprometer em aplicar US$ 20 bilhões para aprimorar a cibersegurança do país, a Microsoft alertou milhares de seus clientes nesta quinta-feira (26) sobre uma falha que permite aos invasores acessar, ler ou até mesmo excluir seus principais bancos de dados no serviço de nuvem da companhia.
A vulnerabilidade está no principal banco de dados Cosmos DB da Microsoft Azure e foi descoberta por uma equipe de pesquisadores da empresa de segurança Wiz. A orientação da Microsoft é que os clientes criem novas chaves para suas bases de dados. “Corrigimos esse problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores por trabalharem sob a divulgação coordenada de vulnerabilidades”, disse a Microsoft à Reuters.
De acordo com o e-mail da Microsoft enviado aos clientes, não houve evidências de que a falha tivesse sido explorada pelo cibercrime. “Não temos nenhuma indicação de que entidades externas – além dos pesquisadores da Wiz – tiveram acesso à chave primária de leitura e gravação”, disse o e-mail.
“Esta é a pior vulnerabilidade de nuvem que você pode imaginar”, disse à Reuters Ami Luttwak, diretor de Tecnologia da Wiz e ex-diretor de Tecnologia do Grupo de segurança em nuvem da Microsoft. “Este é o banco central do Azure e fomos capazes de obter acesso a qualquer banco de dados de cliente que quiséssemos”, alerta o executivo.
A equipe de Luttwak encontrou o problema, apelidado de ChaosDB, em 9 de agosto e notificou a Microsoft em 12 de agosto. A falha estava em uma ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi habilitada por padrão no Cosmos a partir de fevereiro deste ano.
Segundo Luttwat, mesmo aqueles que não foram notificados pela Microsoft, é importante que clientes redobrem atenção e troquem suas chaves, pois se forem roubadas, poderão dar acesso ao cibercriminosos.
A Microsoft pagou US$ 40 mil à Wiz como recompensa pela identificação da falha.
Procurada pela redação da Security Report, a assessoria de imprensa da Microsoft no Brasil disponibilizou o comunicado oficial:
“Consertamos o problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidade.
Informações adicionais:
– Não há evidências de que esta técnica tenha sido explorada por atores maliciosos.
– Não temos conhecimento de nenhum dado do cliente que esteja sendo acessado devido a esta vulnerabilidade.
– Clientes que possam ter sido impactados receberam de nós uma notificação.
– Agradecemos ao Wiz.io por nos comunicar isto de forma responsável.”
*Com informações da Agência Reuters