Azure undicht: Microsoft schrammt knapp an großer Katastrophe vorbei
Das hätte ordentlich schief gehen können: Eine Sicherheitslücke bot Angreifern die Möglichkeit, Datenbanken in tausenden Microsoft Azure-Instanzen zu lesen, zu verändern oder komplett zu löschen. Passiert ist wie durch ein Wunder wohl nichts.
Das Security-Unternehmen Wiz hatte die Schwachstelle in der Cosmos DB entdeckt und Microsoft gewarnt. Die Sicherheitsforscher konnten hier laut einem Bericht der Nachrichtenagentur Reuters Zugang zu den kryptographischen Schlüsseln bekommen, mit denen sich legitime Nutzer gegenüber der jeweiligen Datenbank-Instanz ausweisen. Im schlimmsten Fall hätte dies dazu führen können, dass die Datenbestände in den Anwendungen tausender Unternehmen aller Größen plötzlich weg oder manipuliert sind.
Wie lange das Problem genau bestand, ist unklar. Allerdings dürfte die Schwachstelle bereits seit längerer Zeit in dem System geschlummert haben, bis die nun glücklicherweise von wohlmeinenden Experten gefunden wurde. "Wir haben keine Hinweise darauf, dass Außenstehende mit Ausnahme der Sicherheitsforscher Zugang zu den primären Lese-Schreib-Schlüsseln hatten", heißt es in einer E-Mail, die Microsoft vorsichtshalber an alle Kunden der betroffenen Azure-Dienste verschickte.
Luttwaks Team entdeckte die Schwachstelle am 9. August und informierte drei Tage später nach tiefergehenden Analysen die Verantwortlichen in Redmond. Von Seiten Microsofts gab es eine öffentliche Danksagung sowie 40.000 Dollar aus dem Bug Bounty-Programm der Azure-Abteilung.
Microsoft forderte in seinem Schreiben an die Kunden dazu auf, neue Zugangs-Schlüssel zu generieren. Dies kann seitens des Anbieters nicht erledigt werden, sondern obliegt dem jeweiligen Nutzer der Datenbank-Instanzen. Ratsam ist dies, weil trotz aller fehlender Hinweise natürlich nicht hundertprozentig ausgeschlossen werden kann, dass nicht doch irgendein Angreifer Zugang zu den Keys hatte.
Siehe auch:
Wie lange das Problem genau bestand, ist unklar. Allerdings dürfte die Schwachstelle bereits seit längerer Zeit in dem System geschlummert haben, bis die nun glücklicherweise von wohlmeinenden Experten gefunden wurde. "Wir haben keine Hinweise darauf, dass Außenstehende mit Ausnahme der Sicherheitsforscher Zugang zu den primären Lese-Schreib-Schlüsseln hatten", heißt es in einer E-Mail, die Microsoft vorsichtshalber an alle Kunden der betroffenen Azure-Dienste verschickte.
Keys bitte dringend erneuern!
Die Gefahr, die sich aus der Sicherheitslücke ergab, war trotzdem dramatisch. "Das ist die schlimmste Cloud-Schwachstelle, die man sich vorstellen kann", sagte Wiz-Technikchef Ami Luttwak. Dieser war früher selbst in führender Position für die Sicherheit in Microsofts Cloud-Sparte tätig und kennt sich somit gut mit der dort vorzufindenden Technologie und Architektur aus. "Das ist die zentrale Datenbank Azures und wir waren in der Lage, darüber auf jede Kunden-Datenbank zuzugreifen, bei der wir dies wünschen."Luttwaks Team entdeckte die Schwachstelle am 9. August und informierte drei Tage später nach tiefergehenden Analysen die Verantwortlichen in Redmond. Von Seiten Microsofts gab es eine öffentliche Danksagung sowie 40.000 Dollar aus dem Bug Bounty-Programm der Azure-Abteilung.
Microsoft forderte in seinem Schreiben an die Kunden dazu auf, neue Zugangs-Schlüssel zu generieren. Dies kann seitens des Anbieters nicht erledigt werden, sondern obliegt dem jeweiligen Nutzer der Datenbank-Instanzen. Ratsam ist dies, weil trotz aller fehlender Hinweise natürlich nicht hundertprozentig ausgeschlossen werden kann, dass nicht doch irgendein Angreifer Zugang zu den Keys hatte.
Siehe auch:
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- The Witcher: CD Projekt plant angeblich neues Multiplayer-Spiel
- Forscher bauen aus alten Handys erstaunlich leistungsstarke Server
- Xbox-Exodus: Chef von Microsofts Spielestudios geht
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
Videos
Beliebte Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
dav2d: ein sehr schneller plattformübergreifender AV2 decoder
d-hubs - Gestern 15:26 Uhr -
Neues von Proxmox, dem Virtualisieurngsspezialisten
d-hubs - Gestern 10:53 Uhr -
#FLOCK ´26: die Flock to Fedora Project Conference
d-hubs - Vorgestern 16:05 Uhr -
DigiKam: das Open-Source-Fotoverwaltungsprogramm
d-hubs - 13.06. 13:22 Uhr -
Alpine-Linux: unter den schlanken Distris
d-hubs - 13.06. 12:33 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen