Fournisseur de sécurité cloud Wiz annoncer Hier, j’ai trouvé une vulnérabilité dans le service de base de données gérée de Microsoft Azure, Cosmos DB, qui accordait un accès en lecture/écriture à chaque base de données du service pour tout attaquant qui découvrait le bogue et l’exploitait.
Bien que Wiz n’ait découvert la vulnérabilité – surnommée « Chaos DB » – qu’il y a deux semaines, la société affirme que la vulnérabilité se cache dans le système depuis « au moins plusieurs mois, voire des années ».
Lance-pierre autour de Jupiter
-
La fonctionnalité de bloc-notes Jupyter dans CosmosDB permet de nombreuses techniques avancées de visualisation de données avec relativement peu d’expérience ou d’effort de codage.
-
La vulnérabilité d’élévation des privilèges permettait à toute personne possédant un compte Cosmos DB de retirer la clé privée de tout autre compte Cosmos DB, via la fonction de bloc-notes Jupyter.
-
Une fois que l’attaquant a la clé primaire de la victime, le jeu est terminé : un accès complet en lecture/écriture/suppression est accordé de manière permanente et ne peut être révoqué sans remplacer les clés affectées.
En 2019, Microsoft a ajouté l’open source Cahier Jupyter Fonctions Cosmos DB. Les notebooks Jupyter sont un moyen particulièrement simple d’utiliser des algorithmes d’apprentissage automatique ; Microsoft a spécifiquement promu les ordinateurs portables comme un outil utile pour la visualisation avancée des données stockées dans Cosmos DB.
La fonctionnalité Jupyter Notebook a été automatiquement activée pour toutes les instances de Cosmos DB en février 2021, mais Wiz pense que le bogue en question remonte probablement encore plus loin, peut-être aussi loin que Cosmos DB a introduit la fonctionnalité pour la première fois en 2019.
Wiz ne donne pas encore tous les détails techniques, mais la version courte est qu’une mauvaise configuration dans la fonctionnalité Jupyter ouvre un exploit d’escalade de privilèges. Cet exploit peut être utilisé à mauvais escient pour accéder aux clés primaires d’autres clients Cosmos DB – selon Wiz, Lequel La clé primaire de l’autre client Cosmos DB, ainsi que d’autres secrets.
L’accès à la clé primaire d’une instance Cosmos DB est « Game Over ». Accorde des autorisations complètes de lecture, d’écriture et de suppression pour l’intégralité de la base de données appartenant à cette clé. Ami Luttwak, directeur de la technologie de Wiz, appelle cela « la pire vulnérabilité cloud que vous puissiez imaginer », ajoutant: « Il s’agit de la base de données centrale pour Azure, et nous avons pu accéder à n’importe quelle base de données client que nous voulions ».
secrets de longue vie
Contrairement aux secrets et aux jetons temporaires, la clé primaire de Cosmos DB n’expire pas – si elle est déjà divulguée et non modifiée, un attaquant peut toujours utiliser cette clé pour extraire, manipuler ou détruire la base de données dans des années.
Selon Wiz, seuls 30 % environ des clients de Cosmos DB ont envoyé un e-mail à Microsoft au sujet de la vulnérabilité. L’e-mail a averti ces utilisateurs de faire pivoter leur clé primaire manuellement, afin de s’assurer que les clés divulguées ne sont plus utiles aux attaquants. Ces clients Cosmos DB sont ceux pour lesquels la fonctionnalité Jupyter Notebook a été activée au cours de la semaine où Wiz a découvert la vulnérabilité.
Depuis février 2021, lorsque toutes les nouvelles instances Cosmos DB ont été créées avec la fonctionnalité Jupyter Notebook activée, le service Cosmos DB a automatiquement désactivé la fonctionnalité Notebook si elle n’est pas utilisée dans les trois premiers jours. C’est pourquoi le nombre de clients Cosmos DB notifiés était si faible – environ 70 % des clients Pas Microsoft a notifié que Jupyter était soit désactivé manuellement, soit désactivé automatiquement en raison d’un manque d’utilisation.
Malheureusement, cela ne couvre pas toute la portée de la vulnérabilité. Étant donné que toute instance de Cosmos DB avec Jupyter activé était vulnérable et que la clé primaire n’est pas un secret éphémère, il est impossible de savoir avec certitude qui détient les clés des instances. Un attaquant avec une cible spécifique peut récolter discrètement la clé primaire de cette cible mais n’a rien fait d’assez odieux pour être remarqué (encore).
Nous ne pouvons pas non plus exclure un scénario d’impact plus large, avec un attaquant hypothétique qui récupère la clé primaire de chaque nouvelle instance Cosmos DB au cours de la période de vulnérabilité initiale de trois jours, puis enregistre ces clés pour une utilisation ultérieure. Nous sommes d’accord avec Wiz ici – si votre instance Cosmos DB est possible Début La fonction de bloc-notes Jupyter est activée, vous devez Faire tourner ses clés immédiatement pour assurer une sécurité continue.
La réponse de Microsoft
Microsoft a désactivé la vulnérabilité Chaos DB il y a deux semaines, moins de 48 heures après que Wiz l’ait signalée en privé. Malheureusement, Microsoft ne peut pas modifier seul les clés primaires de ses clients ; Le fardeau incombe aux clients de Cosmos DB faire tourner leurs clés.
comme Pour Microsoft, il n’y a aucune preuve qu’un acteur malveillant ait trouvé et exploité la base de données Chaos avant que Wiz ne soit découvert. « Nous n’avons connaissance d’aucune donnée client accessible en raison de cette vulnérabilité », indique un communiqué envoyé par courrier électronique par Microsoft à Bloomberg. En plus d’avertir plus de 3 000 clients de la vulnérabilité et de fournir des directives d’atténuation, Microsoft a versé à Wiz une récompense de 40 000 $.
