Azure undicht: Microsoft schrammt knapp an großer Katastrophe vorbei

Das hätte ordentlich schief gehen können: Eine Sicherheitslücke bot Angreifern die Möglichkeit, Datenbanken in tausenden Mi­cro­soft Azure-Instanzen zu lesen, zu verändern oder komplett zu lö­schen. Passiert ist wie durch ein Wunder wohl nichts.
Sicherheit, Sicherheitslücke, Datenschutz, Security, Angriff, Privatsphäre, Kriminalität, Verschlüsselung, Exploit, Cybercrime, Cybersecurity, Hackerangriff, Internetkriminalität, Kryptographie, Hacker Angriff, Hacken, Schlüssel, DSGVO, schloss, Ende-zu-Ende-Verschlüsselung, Datenverarbeitung, Security Report, Absicherung, Verschlüsselungssoftware, Schloss-Symbol
Das Security-Unternehmen Wiz hatte die Schwachstelle in der Cosmos DB entdeckt und Microsoft gewarnt. Die Sicherheitsforscher konnten hier laut einem Bericht der Nachrichtenagentur Reuters Zugang zu den kryptographischen Schlüsseln bekommen, mit denen sich legitime Nutzer gegenüber der jeweiligen Datenbank-Instanz ausweisen. Im schlimmsten Fall hätte dies dazu führen können, dass die Datenbestände in den Anwendungen tausender Unternehmen aller Größen plötzlich weg oder manipuliert sind.

Wie lange das Problem genau bestand, ist unklar. Allerdings dürfte die Schwachstelle bereits seit längerer Zeit in dem System geschlummert haben, bis die nun glücklicherweise von wohlmeinenden Experten gefunden wurde. "Wir haben keine Hinweise darauf, dass Außenstehende mit Ausnahme der Sicherheitsforscher Zugang zu den primären Lese-Schreib-Schlüsseln hatten", heißt es in einer E-Mail, die Microsoft vorsichtshalber an alle Kunden der betroffenen Azure-Dienste verschickte.

Keys bitte dringend erneuern!

Die Gefahr, die sich aus der Sicherheitslücke ergab, war trotzdem dramatisch. "Das ist die schlimmste Cloud-Schwachstelle, die man sich vorstellen kann", sagte Wiz-Technikchef Ami Luttwak. Dieser war früher selbst in führender Position für die Sicherheit in Microsofts Cloud-Sparte tätig und kennt sich somit gut mit der dort vorzufindenden Technologie und Architektur aus. "Das ist die zentrale Datenbank Azures und wir waren in der Lage, darüber auf jede Kunden-Datenbank zuzugreifen, bei der wir dies wünschen."

Luttwaks Team entdeckte die Schwachstelle am 9. August und informierte drei Tage später nach tiefergehenden Analysen die Verantwortlichen in Redmond. Von Seiten Microsofts gab es eine öffentliche Danksagung sowie 40.000 Dollar aus dem Bug Bounty-Programm der Azure-Abteilung.

Microsoft forderte in seinem Schreiben an die Kunden dazu auf, neue Zugangs-Schlüssel zu generieren. Dies kann seitens des Anbieters nicht erledigt werden, sondern obliegt dem jeweiligen Nutzer der Datenbank-Instanzen. Ratsam ist dies, weil trotz aller fehlender Hinweise natürlich nicht hundertprozentig ausgeschlossen werden kann, dass nicht doch irgendein Angreifer Zugang zu den Keys hatte.

Siehe auch:

Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!