Azure undicht: Microsoft schrammt knapp an großer Katastrophe vorbei - WinFuture

Das hätte ordentlich schief gehen können: Eine Sicherheitslücke bot Angreifern die Möglichkeit, Datenbanken in tausenden Microsoft Azure-Instanzen zu lesen, zu verändern oder komplett zu löschen. Passiert ist wie durch ein Wunder wohl nichts. Das Security-Unternehmen Wiz hatte die Schwachstelle in der Cosmos DB entdeckt und Microsoft gewarnt. Die Sicherheitsforscher konnten hier laut einem Bericht der Nachrichtenagentur Zugang zu den kryptographischen Schlüsseln bekommen, mit denen sich legitime Nutzer gegenüber der jeweiligen Datenbank-Instanz ausweisen. Im schlimmsten Fall hätte dies dazu führen können, dass die Datenbestände in den Anwendungen tausender Unternehmen aller Größen plötzlich weg oder manipuliert sind.

Wie lange das Problem genau bestand, ist unklar. Allerdings dürfte die Schwachstelle bereits seit längerer Zeit in dem System geschlummert haben, bis die nun glücklicherweise von wohlmeinenden Experten gefunden wurde. "Wir haben keine Hinweise darauf, dass Außenstehende mit Ausnahme der Sicherheitsforscher Zugang zu den primären Lese-Schreib-Schlüsseln hatten", heißt es in einer E-Mail, die Microsoft vorsichtshalber an alle Kunden der betroffenen Azure-Dienste verschickte.

Keys bitte dringend erneuern!

Die Gefahr, die sich aus der Sicherheitslücke ergab, war trotzdem dramatisch. "Das ist die schlimmste Cloud-Schwachstelle, die man sich vorstellen kann", sagte Wiz-Technikchef Ami Luttwak. Dieser war früher selbst in führender Position für die Sicherheit in Microsofts Cloud-Sparte tätig und kennt sich somit gut mit der dort vorzufindenden Technologie und Architektur aus. "Das ist die zentrale Datenbank Azures und wir waren in der Lage, darüber auf jede Kunden-Datenbank zuzugreifen, bei der wir dies wünschen."

Luttwaks Team entdeckte die Schwachstelle am 9. August und informierte drei Tage später nach tiefergehenden Analysen die Verantwortlichen in Redmond. Von Seiten Microsofts gab es eine öffentliche Danksagung sowie 40.000 Dollar aus dem Bug Bounty-Programm der Azure-Abteilung.

Microsoft forderte in seinem Schreiben an die Kunden dazu auf, neue Zugangs-Schlüssel zu generieren. Dies kann seitens des Anbieters nicht erledigt werden, sondern obliegt dem jeweiligen Nutzer der Datenbank-Instanzen. Ratsam ist dies, weil trotz aller fehlender Hinweise natürlich nicht hundertprozentig ausgeschlossen werden kann, dass nicht doch irgendein Angreifer Zugang zu den Keys hatte.

Siehe auch:

Sicherheit, Sicherheitslücke, Datenschutz, Security, Angriff, Privatsphäre, Kriminalität, Verschlüsselung, Exploit, Cybercrime, Cybersecurity, Hackerangriff, Internetkriminalität, Kryptographie, Hacken, Hacker Angriff, Schlüssel, DSGVO, Ende-zu-Ende-Verschlüsselung, schloss, Security Report, Absicherung, Datenverarbeitung, Verschlüsselungssoftware, Schloss-Symbol

Adblock test (Why?)

Azure undicht: Microsoft schrammt knapp an großer Katastrophe vorbei - WinFuture
Read More