微软再度出现安全漏洞!根据路透社报道,微软27日警告云计算客户,旗下Azure旗舰产品Cosmos数据库有漏洞,黑客有能力读取更改甚至删除主要数据库。
这个漏洞是由网络安全公司Wiz的研究小组发现,它发现自己能访问数千家公司所持有来控制“数据库访问权”的密钥。由于微软无法自行更改这些密钥,因此周四发信给客户,提醒他们创建新的密钥。
另外,微软同意向Wiz支付4万美元,感谢Wiz发现漏洞并报告。
根据微软发信给客户的信件来看,目前漏洞已经修复,但没有任何证据显示漏洞遭利用,“目前没有迹象表明,除了研究人员(Wiz)以外的外部实体能访问主要密钥。”
Wiz首席技术官Ami Luttwak为微软云计算安全部门的前首席技术官。Luttwak认为,这是最危险的云计算漏洞,因为有心人能进入Azure中央数据库,随意取得任何客户数据库的访问权限。
Luttwak研究团队8月9日发现名为“ChaosDB”的问题,并于12日通知微软。
今年6月微软就出现安全漏洞,去年底发起SolarWinds攻击事件的俄罗斯黑客组织Nobelium,今年5月中旬取得微软客户访问权限,取得客户微软订阅信息,并攻击其他三名客户。
(首图来源:微软)