安全公司Orca研究人员,近期发现微软数据库服务Azure Cosmos上的一个严重漏洞CosMiss,其用于编写程序代码的Azure Cosmos Notebooks缺少身份验证检查,所以只要攻击者知道笔记本工作区的UUID,即拥有Notebook包括读写和修改等完整访问权限。
这项漏洞在Orca向微软回应之后,微软火速在两天内就修复了该漏洞,现在所有Cosmos DB Notebook都需要用户在请求标头提供授权令牌才能够访问。
CosMiss漏洞发现于Cosmos DB Jupyter Notebooks,Azure Cosmos是微软的高性能NoSQL数据库服务,而该数据库服务提供互动式开发人员环境Jupyter Notebooks,让开发人员可以创建、执行和共享程序代码、方程式,以及可视化和描述性文本,也因为开发人员在Cosmos DB Notebooks中创建程序代码,其中可能包含许多敏感资料,包括嵌入在程序代码的私密密钥等。
CosMiss漏洞允许未经身份验证的用户,对Azure Cosmos DB Notebooks进行读写、注入程序代码和覆盖程序代码,官方提到,这些权限相当于提供攻击者远程程序代码执行的能力。
不过,攻击者在发动攻击之前,需要知道笔记本工作区的UUID(forwardingId),才能进一步利用该漏洞,而获取forwardingId的唯一方法,是由经过身份验证的用户打开Notebook,不过又因为forwardingId没有被标记成机密资讯,因此用户可能不会认知forwardingId为机密资讯,在未妥善保存的状况,或将增加攻击者成功盗取的可能性增加。
Orca在10月3日向微软报告了该漏洞,而微软在两天内快速修复了该漏洞,现在攻击者已经无法利用该漏洞任意访问用户的Azure Cosmos Notebooks。