A Microsoft alertou milhares de seus clientes da nuvem, incluindo algumas das maiores empresas do mundo, que intrusos podem ter conseguido a habilidade de ler, mudar ou até deletar suas principais bases de dados, segundo uma cópia do email e um pesquisador de segurança cibernética.
A vulnerabilidade está na base de dados Cosmos DB, carro-chefe do Azure da Microsoft. Uma equipe de pesquisa da empresa de segurança Wiz descobriu que conseguia acessar chaves que controlam o acesso às bases de dados mantidos por milhares de empresas. O diretor de tecnologia da Wiz, Ami Luttwak, é um ex-diretor de tecnologia do Grupo de Segurança de Nuvem da Microsoft.
Como a Microsoft não pode mudar essas chaves sozinha, enviou um email aos clientes na quinta-feira pedindo para que criassem novas. A Microsoft concordou em pagar 40.000 dólares ao Wiz por encontrar a falha e relatá-la, segundo um email enviado ao Wiz.
“Consertamos o problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidade”, disse a Microsoft à Reuters.
O email da Microsoft aos clientes disse que não havia evidência de que a falha havia sido explorada. “Não temos indicação de que entidades externas, além do pesquisador (Wiz), tiveram acesso à chave primária”, disse o email.
“Esta é a pior vulnerabilidade de nuvem que você pode imaginar. É um segredo duradouro”, disse Luttwak à Reuters. “É a base de dados central do Azure, e nós pudemos ter acesso a qualquer base de dados de consumidores que quiséssemos.”
A equipe de Luttwak encontrou o problema, batizado de ChaosDB, em 9 de agosto e notificou a Microsoft em 12 de agosto, afirmou Luttwak.
A falha era na ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi ativada por padrão no Cosmos a partir de fevereiro. Após a Reuters publicar a falha, o Wiz detalhou a questão em um blog.
Luttwak afirmou que mesmo consumidores que não foram notificados pela Microsoft poderiam ter tido as suas chaves roubadas por invasores, o que lhes teria dado acesso até que essas chaves fossem modificadas. A Microsoft notificou apenas clientes cujas chaves estavam visíveis este mês, quando o Wiz estava trabalhando no problema.
Essa revelação chega após meses de notícias ruins no âmbito da segurança para a Microsoft. A empresa foi violada pelos mesmos hackers suspeitos de serem do governo russo que infiltraram o SolarWinds e roubaram o código-fonte da Microsoft. Depois, vários hackers invadiram os servidores de email do Exchange, enquanto um patch estava sendo desenvolvido.
Os problemas com o Azure são especialmente preocupantes porque a Microsoft e especialistas externos de segurança têm pressionado as empresas a abandonar suas próprias infraestruturas e depender da nuvem por mais segurança.
Mas embora ataques à nuvem sejam mais raros, eles podem ser mais devastadores quando ocorrem. E além disso, alguns nunca são divulgados.