Alerta de falha no Microsoft Azure

Views: 76
0 0
Read Time:2 Minute, 23 Second

Pesquisadores descobrem vulnerabilidade no principal banco de dados no serviço de nuvem. Em comunicado, empresa reforça que corrigiu a falha e que não há evidência de exploração de informações sensíveis pelo cibercrime

Por: Léia Machado

Um dia após se encontrar com o presidente dos Estados Unidos, Joe Biden, e se comprometer em aplicar US$ 20 bilhões para aprimorar a cibersegurança do país, a Microsoft alertou milhares de seus clientes nesta quinta-feira (26) sobre uma falha que permite aos invasores acessar, ler ou até mesmo excluir seus principais bancos de dados no serviço de nuvem da companhia.

A vulnerabilidade está no principal banco de dados Cosmos DB da Microsoft Azure e foi descoberta por uma equipe de pesquisadores da empresa de segurança Wiz. A orientação da Microsoft é que os clientes criem novas chaves para suas bases de dados. “Corrigimos esse problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores por trabalharem sob a divulgação coordenada de vulnerabilidades”, disse a Microsoft à Reuters.

De acordo com o e-mail da Microsoft enviado aos clientes, não houve evidências de que a falha tivesse sido explorada pelo cibercrime. “Não temos nenhuma indicação de que entidades externas – além dos pesquisadores da Wiz – tiveram acesso à chave primária de leitura e gravação”, disse o e-mail.

“Esta é a pior vulnerabilidade de nuvem que você pode imaginar”, disse à Reuters Ami Luttwak, diretor de Tecnologia da Wiz e ex-diretor de Tecnologia do Grupo de segurança em nuvem da Microsoft. “Este é o banco central do Azure e fomos capazes de obter acesso a qualquer banco de dados de cliente que quiséssemos”, alerta o executivo.

A equipe de Luttwak encontrou o problema, apelidado de ChaosDB, em 9 de agosto e notificou a Microsoft em 12 de agosto. A falha estava em uma ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi habilitada por padrão no Cosmos a partir de fevereiro deste ano.

Segundo Luttwat, mesmo aqueles que não foram notificados pela Microsoft, é importante que clientes redobrem atenção e troquem suas chaves, pois se forem roubadas, poderão dar acesso ao cibercriminosos.

A Microsoft pagou US$ 40 mil à Wiz como recompensa pela identificação da falha.

Procurada pela redação da Security Report, a assessoria de imprensa da Microsoft no Brasil disponibilizou o comunicado oficial:

“Consertamos o problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidade.

Informações adicionais:

– Não há evidências de que esta técnica tenha sido explorada por atores maliciosos.

– Não temos conhecimento de nenhum dado do cliente que esteja sendo acessado devido a esta vulnerabilidade.

– Clientes que possam ter sido impactados receberam de nós uma notificação.

– Agradecemos ao Wiz.io por nos comunicar isto de forma responsável.”

*Com informações da Agência Reuters

FONTE: SECURITY REPORT

Previous post Cisco diz que não lançará patch para bug em roteadores VPN
Next post TSE anuncia teste Público de Segurança nas urnas eletrônicas

Deixe um comentário