Overslaan en naar de inhoud gaan

Azure-kwetsbaarheden gaven onderzoekers dezelfde rechten als Microsoft

Het lek in de Microsoft Azure Cosmos DB database was veel groter dan in eerste instantie werd gezegd. Dat vertellen de beveiligingsonderzoekers die het lek ontdekt hebben, op de conferentie Black Hat Europe. Ze verzwegen de daadwerkelijke impact om Microsoft genoeg tijd te geven om de kwetsbaarheden te dichten.
Microsoft Azure logo

Ethisch beveiligingsonderzoekers Sagi Tzadik en Nir Ohfeld van Wiz haalden in augustus dit jaar het nieuws omdat ze een kwetsbaarheid gevonden hadden in Microsofts Azure Cosmos DB database. Die kwetsbaarheid hielden ze stil totdat Microsoft een bugfix paraat had, wat binnen 48 uur gebeurde. Daarna bleef het stil. Maar het verhaal was niet af, vertellen Tzadik en Ohfeld in gesprek met DarkReading op de conferentie Black Hat Europe.

Groter lek dan gemeld 

Het lek in Cosmos DB was veel groter dan gemeld, waardoor Microsoft meer tijd nodig had om fixes uit te rollen. Dat is inmiddels gebeurd en dus kan het Wiz-team zijn verhaal doen. De originele kwetsbaarheid gaf elke Azure-gebruiker admin-toegang tot de informatie van andere gebruikers zonder hun toestemming. Dit lek trof duizenden organisaties, inclusief enorme ondernemingen. 

De Wiz-onderzoekers konden de verkeerde configuraties uit Cosmos DB namelijk koppelen en zo veel van Microsofts eigen data bemachtigen. Met die data, inclusief wachtwoorden, konden zij inloggen bij meer dan honderd Cosmos DB-beheerdersmenu's. Die menu's sturen Cosmos DB feitelijk aan. De onderzoekers verkregen zo ook informatie over hoe Microsoft Azure werkt - zeer gevoelige gegevens. 

'Bijna in staat om de dienst over te nemen'

Volgens de onderzoekers hadden zij de mogelijkheid om de werking van de Cosmos DB-dienst te beschadigen en toegang tot plaintext wachtwoorden van de bijbehorende Jupyter Notebook-dienst. Al met al vonden de onderzoekers naar eigen zeggen 25 'geheimen' en gebruikten zij er in één week 6 om tot hun onderzoek te komen. "We geloven dat wij bijna in staat waren om de hele dienst over te nemen", schrijven ze in een uitgebreide blogpost. Naar eigen zeggen hadden de onderzoekers evenveel rechten als Microsoft-medewerkers die het project ontwikkelen. 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in