Selecteer een pagina

Microsoft ontkent risico’s beveiligingslek in Azure waarvoor experts Wiz waarschuwen

Het Israëlische beveiligingsbedrijf Wiz en het Amerikaanse cybersecurityagentschap CISA raden alle klanten van de clouddienst Microsoft Azure aan hun digitale sleutel te veranderen, meldt persbureau Reuters.

Wiz ontdekte onlangs een ernstig lek in de Cosmos DB-database van Microsoft Azure. Hiermee kon het bedrijf bij sleutels komen die de toegang tot de databases van duizenden bedrijven beheren.

Het lek werd eerder deze maand gedicht nadat Microsoft was ingelicht door Wiz. Volgens Wiz heeft het lek waarschijnlijk twee jaar bestaan.

Microsoft ontkent de risico’s waar Wiz voor waarschuwt. Microsoft schrijft in een e-mail aan 3.300 klanten van Azure dat het “geen aanwijzingen heeft dat externen buiten de onderzoeker (Wiz, red.) toegang hadden”.

Onder die klanten zijn grote Amerikaanse bedrijven, waaronder olie- en gasconcern ExxonMobil en frisdrankconcern Coca-Cola.

Hoe Microsoft zeker weet dat niemand ongeautoriseerde toegang had tot de databases, zegt het bedrijf niet.

CISA vindt dat zorgelijk. Daarom raadt het agentschap alle Azure-gebruikers aan hun sleutel te veranderen, dus niet alleen de 3.300 klanten die zijn ingelicht door Microsoft.

Ami Luttwak, technologie-expert bij Wiz, sluit zich bij het advies aan. “Het is onmogelijk om volledig uit te sluiten dat het lek is misbruikt”, zegt Luttwak tegen Reuters.

Microsoft Azure database Cosmos zo lek als een mandje

Microsoft heeft donderdag duizenden van zijn cloud computing-klanten, waaronder enkele van ’s werelds grootste bedrijven, gewaarschuwd dat indringers de mogelijkheid zouden kunnen hebben om hun belangrijkste databases te lezen, te wijzigen of zelfs te verwijderen, volgens een kopie van de e-mail en een cyberbeveiligingsonderzoeker.

De kwetsbaarheid zit in Microsoft Azure’s vlaggenschip Cosmos database. Een onderzoeksteam van beveiligingsbedrijf Wiz ontdekte dat het toegang kon krijgen tot sleutels die de toegang controleren tot databases van duizenden bedrijven.

Wiz Chief Technology Officer Ami Luttwak is een voormalig chief technology officer bij Microsoft’s Cloud Security Group.

Omdat Microsoft deze sleutels niet zelf kan wijzigen, stuurde het de klanten donderdag een e-mail met de boodschap dat ze nieuwe sleutels moesten aanmaken.

Microsoft stemde ermee in Wiz 40.000 dollar te betalen voor het vinden van de fout en het melden ervan, aldus een e-mail die het naar Wiz stuurde.

Woordvoerders van Microsoft gaven niet onmiddellijk commentaar.

In de e-mail die Microsoft naar klanten stuurde, staat dat het de kwetsbaarheid had verholpen en dat er geen aanwijzingen waren dat er misbruik van het lek was gemaakt. “We hebben geen aanwijzingen dat externe entiteiten buiten de onderzoeker (Wiz) toegang hadden tot de primaire read-write key”, aldus een kopie van de e-mail die door persbureau Reuters werd ingezien.

“Dit is de ergste kwetsbaarheid in de cloud die je je kunt voorstellen. Het is een langdurig geheim,” vertelde Luttwak aan Reuters. “Dit is de centrale database van Azure, en we waren in staat om toegang te krijgen tot elke klantendatabase die we wilden.”

Luttwak’s team ontdekte het probleem, dat de naam ChaosDB kreeg, op 9 augustus en bracht Microsoft op 12 augustus op de hoogte.

De onthulling komt na maanden van slecht beveiligingsnieuws voor Microsoft. Het bedrijf werd gehackt door dezelfde vermoedelijke Russische overheidshackers die SolarWinds infiltreerden en die hier Microsoft broncode stalen.

Een recente fix voor een printerfout die computerovernames mogelijk maakte, moest herhaaldelijk worden overgedaan.

En een fout in Exchange e-mail leidde vorige week tot een dringende waarschuwing van de Amerikaanse overheid dat klanten patches moeten installeren die maanden geleden zijn uitgegeven omdat ransomware bendes er nu misbruik van maken.