Microsoft advirtió a miles de sus clientes en la nube, incluidas algunas de las empresas más grandes del mundo, sobre la existencia de intrusos podrían ser capaces de leer, cambiar o incluso eliminar sus bases de datos principales, según una copia del correo electrónico y un investigador de seguridad cibernética.
La vulnerabilidad está en la base de datos insignia Cosmos DB de Microsoft Azure. Un equipo de investigación de la empresa de seguridad Wiz descubrió que podía acceder a las claves que controlan el acceso a las bases de datos de miles de empresas. Ami Luttwak, directora de tecnología de Wiz, es una exdirectora de tecnología del Grupo de Seguridad en la Nube de Microsoft .
Como Microsoft no puede cambiar esas claves por sí mismo, envió un correo electrónico a los clientes el jueves pidiéndoles que crearan nuevas. Microsoft acordó pagar a Wiz 40 mil dólares por encontrar la falla e informarla, según un correo electrónico que envió a esta firma.
"Solucionamos este problema de inmediato para mantener a nuestros clientes seguros y protegidos. Agradecemos a los investigadores de seguridad por trabajar bajo la divulgación coordinada de vulnerabilidades", dijo Microsoft a Reuters.
El correo electrónico de Microsoft a los clientes decía que no había evidencias de que la falla hubiera sido explotada. "No tenemos indicios de que entidades externas fuera del investigador (Wiz) tuvieran acceso a la clave primaria de lectura y escritura", indicó la comunicación.
"Esta es la peor vulnerabilidad en la nube que se pueda imaginar. Es un secreto duradero", dijo Luttwak a Reuters. "Esta es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos".
El equipo de Luttwak encontró el problema, denominado ChaosDB, el 9 de agosto y notificó a Microsoft el 12 de agosto, dijo Luttwak.
La falla estaba en una herramienta de visualización llamada Jupyter Notebook, que ha estado disponible durante años, pero estaba habilitada de manera predeterminada en Cosmos a partir de febrero. Después de que Reuters informara sobre la falla, Wiz detalló el problema en una publicación de blog.
Luttwak dijo que incluso los clientes que no han sido notificados por Microsoft podrían haber tenido sus claves robadas por los atacantes, dándoles acceso hasta que se cambien esas claves. Microsoft solo avisó a los clientes con las claves expuestas este mes, cuando Wiz estaba trabajando en el problema.
Microsoft dijo a Reuters que "los clientes que pueden haber sido afectados recibieron una notificación de nuestra parte", sin dar más detalles.
srgs