Azure undicht: Microsoft schrammt knapp an großer Katastrophe vorbei
Reuters Zugang zu den kryptographischen Schlüsseln bekommen, mit denen sich legitime Nutzer gegenüber der jeweiligen Datenbank-Instanz ausweisen. Im schlimmsten Fall hätte dies dazu führen können, dass die Datenbestände in den Anwendungen tausender Unternehmen aller Größen plötzlich weg oder manipuliert sind.
Wie lange das Problem genau bestand, ist unklar. Allerdings dürfte die Schwachstelle bereits seit längerer Zeit in dem System geschlummert haben, bis die nun glücklicherweise von wohlmeinenden Experten gefunden wurde. "Wir haben keine Hinweise darauf, dass Außenstehende mit Ausnahme der Sicherheitsforscher Zugang zu den primären Lese-Schreib-Schlüsseln hatten", heißt es in einer E-Mail, die Microsoft vorsichtshalber an alle Kunden der betroffenen Azure-Dienste verschickte.
Luttwaks Team entdeckte die Schwachstelle am 9. August und informierte drei Tage später nach tiefergehenden Analysen die Verantwortlichen in Redmond. Von Seiten Microsofts gab es eine öffentliche Danksagung sowie 40.000 Dollar aus dem Bug Bounty-Programm der Azure-Abteilung.
Microsoft forderte in seinem Schreiben an die Kunden dazu auf, neue Zugangs-Schlüssel zu generieren. Dies kann seitens des Anbieters nicht erledigt werden, sondern obliegt dem jeweiligen Nutzer der Datenbank-Instanzen. Ratsam ist dies, weil trotz aller fehlender Hinweise natürlich nicht hundertprozentig ausgeschlossen werden kann, dass nicht doch irgendein Angreifer Zugang zu den Keys hatte.
Siehe auch:
Das Security-Unternehmen Wiz hatte die Schwachstelle in der Cosmos DB entdeckt und Microsoft gewarnt. Die Sicherheitsforscher konnten hier laut einem Bericht der Nachrichtenagentur Wie lange das Problem genau bestand, ist unklar. Allerdings dürfte die Schwachstelle bereits seit längerer Zeit in dem System geschlummert haben, bis die nun glücklicherweise von wohlmeinenden Experten gefunden wurde. "Wir haben keine Hinweise darauf, dass Außenstehende mit Ausnahme der Sicherheitsforscher Zugang zu den primären Lese-Schreib-Schlüsseln hatten", heißt es in einer E-Mail, die Microsoft vorsichtshalber an alle Kunden der betroffenen Azure-Dienste verschickte.
Keys bitte dringend erneuern!
Die Gefahr, die sich aus der Sicherheitslücke ergab, war trotzdem dramatisch. "Das ist die schlimmste Cloud-Schwachstelle, die man sich vorstellen kann", sagte Wiz-Technikchef Ami Luttwak. Dieser war früher selbst in führender Position für die Sicherheit in Microsofts Cloud-Sparte tätig und kennt sich somit gut mit der dort vorzufindenden Technologie und Architektur aus. "Das ist die zentrale Datenbank Azures und wir waren in der Lage, darüber auf jede Kunden-Datenbank zuzugreifen, bei der wir dies wünschen."Luttwaks Team entdeckte die Schwachstelle am 9. August und informierte drei Tage später nach tiefergehenden Analysen die Verantwortlichen in Redmond. Von Seiten Microsofts gab es eine öffentliche Danksagung sowie 40.000 Dollar aus dem Bug Bounty-Programm der Azure-Abteilung.
Microsoft forderte in seinem Schreiben an die Kunden dazu auf, neue Zugangs-Schlüssel zu generieren. Dies kann seitens des Anbieters nicht erledigt werden, sondern obliegt dem jeweiligen Nutzer der Datenbank-Instanzen. Ratsam ist dies, weil trotz aller fehlender Hinweise natürlich nicht hundertprozentig ausgeschlossen werden kann, dass nicht doch irgendein Angreifer Zugang zu den Keys hatte.
Siehe auch:
Thema:
Beliebte Downloads
Bilder zum Thema Cloud
Beiträge aus dem Forum
-
Onedrive
cien -
OneDrive Dokumentenordner Konfusion - Hilfe!
blommberg -
CloudFest Hackathon 2023 mit innovativen WordPress-Projekte:....
el_pelajo -
KeePass mit Google Drive
PC.Nutzer -
rklone, insinc, GNOME, KDE etc: .zur nativen Verwendung Google Drive
el_pelajo -
Gruppieren von Textfeld und PNG Icon (Word Office 365)
Hideko1994 -
Office 365 und Windows Benutzerkontensteuerung
Bassman -
oneDrive nach PC Rücksetzen unvollständig
Hideko1994 -
GitHub Codespaces - die cloudbasierte Entwicklungsumgebung mit vielen
el_pelajo -
Office 365 - Sync AD (2012R2)
der dom
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- iOS 17.4-Update bringt neue Ladegeschwindigkeit für iPhone 12-Familie
- Microsoft kündigt neue OneDrive-Funktionen für Microsoft 365 Basic an
- "Was ist neu": Microsoft Store-Update zeigt nun Changelog mit an
- New York erlaubt selbstfahrende Autos - solange sie nicht selbst fahren
- E-Mail-Betrugswarnung: Kunden dreier deutscher Banken betroffen
- Ukraine nutzt Mikrofon-Netzwerk, um Kamikaze-Drohnen aufzuspüren
Videos
Neueste Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen