Microsoft advierte a miles de clientes de la nube sobre bases de datos expuestas

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

SAN FRANCISCO, 26 ago (Reuters) - Microsoft  advirtió el jueves a miles de sus clientes de computación en la nube, incluidas algunas de las empresas más grandes del mundo, que los intrusos podrían tener la capacidad de leer, cambiar o incluso eliminar sus principales bases de datos. según una copia del correo electrónico y un investigador de seguridad cibernética.

La vulnerabilidad está en la base de datos insignia Cosmos DB de Microsoft Azure. Un equipo de investigación de la empresa de seguridad Wiz descubrió que podía acceder a las claves que controlan el acceso a las bases de datos de miles de empresas. Ami Luttwak, directora de tecnología de Wiz, es una ex directora de tecnología del Cloud Security Group de Microsoft.

Debido a que Microsoft no puede cambiar esas claves por sí mismo, envió un correo electrónico a los clientes el jueves diciéndoles que crearan nuevas. Microsoft acordó pagarle a Wiz 40.000 dólares por encontrar la falla e informarla, según un correo electrónico que envió a Wiz.

"Solucionamos este problema de inmediato para mantener a nuestros clientes seguros y protegidos. Agradecemos a los investigadores de seguridad por trabajar bajo la divulgación coordinada de vulnerabilidades", dijo Microsoft a Reuters.

El correo electrónico de Microsoft a los clientes decía que no había evidencia de que la falla hubiera sido explotada. "No tenemos indicios de que entidades externas fuera del investigador (Wiz) tuvieran acceso a la clave primaria de lectura y escritura", decía el correo electrónico.

"Esta es la peor vulnerabilidad en la nube que pueda imaginar. ", dijo Luttwak a Reuters. "Esta es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos".

El equipo de Luttwak encontró el problema, denominado ChaosDB, el 9 de agosto y notificó a Microsoft el 12 de agosto, dijo Luttwak.

La falla estaba en una herramienta de visualización llamada Jupyter Notebook, que ha estado disponible durante años, pero estaba habilitada de manera predeterminada en Cosmos a partir de febrero. Después de que Reuters informara sobre la falla, Wiz detalló el problema en una publicación de blog.

Luttwak dijo que incluso los clientes que no han sido notificados por Microsoft podrían haber tenido sus claves robadas por los atacantes, dándoles acceso hasta que se cambien esas claves. Microsoft solo les dijo a los clientes cuyas claves estaban visibles este mes, cuando Wiz estaba trabajando en el problema.

Microsoft dijo a Reuters que "los clientes que pueden haber sido afectados recibieron una notificación de nuestra parte", sin dar más detalles.

La divulgación se produce después de meses de malas noticias de seguridad para Microsoft. La empresa fue violada por los mismos presuntos piratas informáticos del gobierno ruso que se infiltraron en SolarWinds, que robaron el código fuente de Microsoft. Luego, una gran cantidad de piratas informáticos irrumpieron en los servidores de correo electrónico de Exchange mientras se desarrollaba un parche.

Una solución reciente para una falla de la impresora que permitía la toma de control de computadoras tuvo que rehacerse repetidamente. Otra falla de Exchange la semana pasada provocó una advertencia urgente del gobierno de EE. UU. de que los clientes deben instalar parches emitidos hace meses porque las bandas de ransomware ahora lo están explotando.

Los problemas con Azure son especialmente preocupantes, porque Microsoft y los expertos en seguridad externos han estado presionando a las empresas para que abandonen la mayor parte de su propia infraestructura y confíen en la nube para obtener más seguridad.

Pero aunque los ataques a la nube son más raros, pueden ser más devastadores cuando ocurren. Es más, algunos nunca se publicitan.

Un laboratorio de investigación contratado por el gobierno federal rastrea todas las fallas de seguridad conocidas en el software y las clasifica por gravedad. Pero no existe un sistema equivalente para los agujeros en la arquitectura de la nube, por lo que muchas vulnerabilidades críticas permanecen sin revelar a los usuarios, dijo Luttwak.

Fuente:
Reuters
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Gran post AXCESS!!!