Sicherheitslücke in Azure legt Daten von 3300 Unternehmen offen
Quelle: Wiz Research

Sicherheitslücke in Azure legt Daten von 3300 Unternehmen offen

Eine massive Sicherheitslücke in der Cosmos DB auf Azure machte die Daten von tausenden, teils riesigen Unternehmen während zwei Jahren zugänglich. Ausgenutzt wurde die Lücke angeblich aber nicht.
30. August 2021

     

In der Microsoft-Cloud Azure klaffte jahrelang eine gewaltige Sicherheitslücke, die 3300 Unternehmen weltweit betrifft – darunter einige aus den Fortune 500 wie beispielsweise Coca Cola oder Exxon Mobil. Die Lücke führte dazu, dass die Daten der Betroffenen Firmen im Prinzip seit zwei Jahren offen zugänglich waren. Entdeckt wurde die Lücke von der Sicherheitsfirma Wiz, die in einem umfangreichen Blogbeitrag den ganzen Fall erklärt (via "The Verge"), der CTO von Wiz spricht gegenüber "The Verge" von der "schlimmsten Cloud-Schwachstelle, die man sich vorstellen kann".

Der Fehler findet sich im Virtualisierungs-Feature Jupyter Notebook in der Cosmos DB auf Azure und existiert seit 2019. Seit Februar 2021 wurde Jupyter Notebook gar für alle Cosmos-DB-Kunden per Default aktiviert. Den Whitehat-Hackern von Wiz ist es damit gelungen, den Primary Read-Write-Key der Datenbank zu erhalten, womit im Prinzip der volle Read-Write-Zugriff auf die Daten gewährleistet wird. Microsoft hat zuvor eine Warnung von Wiz bekommen und die Lücke innerhalb von zwei Tage geschlossen. Wiz hat für die Entdeckung eine Prämie von 40'000 US-Dollar kassiert. Microsoft zufolge sei bisher kein Zugriff ausser dem von Wiz auf die Unternehmensdaten erfolgt.


Sowohl Wiz als auch Microsoft haben weitere Beiträge mit allfälligen Massnahmen und Erklärungen zur Sicherheitslücke gepostet, die hier und hier zu finden sind. (win)


Weitere Artikel zum Thema

Microsoft Azure erreicht die Internationale Raumstation

23. August 2021 - Im Februar wurde bekannt, dass Hewlett Packard Enterprise einen Computer zur Internationalen Raumstation schickt, der sich mit der Azure-Cloud von Microsoft verbinden wird. Nun hat die Cloud ihren Weg zur ISS gefunden.

Problem mit Windows Server Update Services verhindert Updates für Azure Virtual Desktops

6. Juli 2021 - Ein Problem mit den Windows Server Update Services (WSUS) verhindert den Download von Sicherheits-Updates für Azure Virtual Desktops. Microsoft arbeitet an einer Lösung.

Microsoft erweitert Angebot aus Schweizer Cloud

10. Juni 2021 - Microsoft erweitert das Angebot aus den Schweizer Rechenzentren um zusätzliche Applikationen von Dynamics 365 und der Power Platform, neue Azure Services sowie weitere Funktionalitäten von Microsoft 365.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER