Cosmos DB: Tausende Azure-Nutzer von Sicherheitslücke betroffen

Angreifer hätten an die Schlüssel zu Cosmos-Datenbanken gelangen können. Viele große Firmen wie Coca-Cola setzen auf den Azure-Datenbankdienst.

Artikel veröffentlicht am , Anna Biselli
Dunkle Wolken ziehen über der Cloud auf (Symbolbild)
Dunkle Wolken ziehen über der Cloud auf (Symbolbild) (Bild: Michał Mancewicz/unsplash.com)

Wer Microsofts Cloudplattform Azure mit dem Datenbankdienst Cosmos DB nutzt, sollte seine Primärschlüssel erneuern. Sicherheitsforscher von Wiz haben eine Schwachstelle entdeckt, mit denen sich Angreifer Zugriff auf die geheimen Schlüssel Tausender Kunden hätten verschaffen können.

Stellenmarkt
  1. Informatikerin / Informatiker (w/m/d) für Data Center Infrastruktur am Zentrum für Informationstechnologie ... (m/w/d)
    Universität Passau, Passau
  2. Space Application Test-System Entwickler (m/f/d)
    Astos Solutions GmbH, Stuttgart
Detailsuche

Azure-Kunden können Cosmos DB als weltweit verteilte Datenbank nutzen. Das Sicherheitsproblem trat laut Wiz durch eine Fehlkonfiguration des integrierten Features für Jupyter Notebook auf, das seit Februar standardmäßig in Cosmos aktiviert ist und mit dem sich Visualisierungen zu den Datenbeständen erstellen lassen. Das habe eine Rechteausweitung für Angreifer ermöglicht, durch die sie schließlich an die Primärschlüssel kommen konnten.

Mit den Schlüsseln hätten Angreifer vollen Lese- und Schreibzugang zu allen Daten der Cosmos-Datenbank. Weitere technische Details dazu will Wiz zu einem späteren Zeitpunkt bekanntgeben.

"Die schlimmste Cloud-Sicherheitslücke, die man sich vorstellen kann"

Ami Luttwak von Wiz sagte der Nachrichtenagentur Reuters, die zuerst über die Sicherheitslücke namens ChaosDB berichteten: "Wir hätten uns Zugriff zu jeder beliebigen Kundendatenbank verschaffen können." Luttwak bezeichnete den Fund als "die schlimmste Cloud-Sicherheitslücke, die man sich vorstellen kann".

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. Dive-in-Workshop: Kubernetes
    25.-28. Januar 2022, online
  3. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
Weitere IT-Trainings

Viele große Unternehmen nutzen Azures Cosmos DB, laut Microsoft etwa Skype, Zeiss und Coca-Cola. Bloomberg berichtet, dass Wiz von mehr als 3.300 betroffenen Kunden ausgeht. Nachdem die Forscher Microsoft Anfang August über das Problem benachrichtigten, deaktivierte das Unternehmen innerhalb von zwei Tagen das betroffene Jupyter-Notebook-Feature, berichtet Wiz.

Die Kunden sollten nun ihre Schlüssel erneuern, da diese anderen potenziell zugänglich waren. Laut Microsoft gibt es jedoch keine Hinweise darauf, dass Dritte die Sicherheitslücke aktiv ausgenutzt hätten. Wie lange sie bestand, ist nicht bekannt. Die Sicherheitsforscher schätzen, dass die Lücke mindestens mehrere Monate existierte. Eine Integration von Jupyter Notebook ist seit September 2019 für Cosmos DB verfügbar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Streaming: Squid Game soll Netflix 900 Millionen US-Dollar bringen
    Streaming
    Squid Game soll Netflix 900 Millionen US-Dollar bringen

    Die südkoreanische Serie Squid Game ist dabei, sich zu Netflix' größtem Erfolg zu entwickeln: Die Survival-Serie bricht mehrere Rekorde.

  2. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  3. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /