Microsoft alerta clientes sobre falha de segurança em banco de dados

Microsoft fez um alerta nesta quinta-feira aos seus clientes de computação em nuvem, a respeito de vazamento e alteração de dados. De acordo com a empresa, a falha permitia que invasores conseguissem ler, alterar ou até mesmo excluir bancos de dados das companhias que usavam o serviço Cosmos DB.

Quem descobriu a vulnerabilidade foi uma equipe de pesquisa da empresa de segurança Wiz. De acordo com Ami Luttwak, diretor de tecnologia da Wiz e ex-diretor de tecnologia do Grupo de segurança em nuvem da Microsoft.e  empresa, ao explorar um ponto fraco, era possível acessar chaves que controlam o acesso a bancos de dados mantidos por milhares de empresas. À agência de notícias, o pesquisador afirmou que essa é a pior vulnerabilidade de serviços em nuvem que se pode imaginar.

Ao ser informada sobre o problema, a Microsoft concordou em pagar 40 mil dólares à Wiz para encontrar a falha e reportá-la à empresa. Segundo o pesquisador, a equipe encontrou o problema no dia 9 de agosto e notificou a Microsoft no dia 12 do mesmo mês. Nesta quinta-feira, depois da publicação pela Reuters, a empresa mostrou que a falha estava em uma ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi habilitada por padrão dentro do Cosmos DB a partir de fevereiro.

“Corrigimos esse problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidades”, disse a Microsoft à Reuters.

Aos clientes, a Microsoft afirmou que o a vulnerabilidade já foi corrigida e que não havia sido explorada anteriormente por nenhum invasor. “Não temos nenhuma indicação de que entidades externas fora a Wiz tiveram acesso à chave primária de leitura e gravação”, disse a empresa por e-mail.

Ainda assim, como medida de segurança, a companhia orientou seus clientes a trocarem as chaves de acesso aos bancos de dados. Vale lembrar que a Microsoft não consegue fazer isso por conta própria — é necessário que cada cliente faça sua alteração.

Contexto

A divulgação ocorre após meses de más notícias relacionadas à segurança da Microsoft. Recentemente, um ataque cibernético ao software de e-mail Outlook da Microsoft atingiu dezenas de milhares de empresas, escritórios do governo e escolas nos Estados Unidos. A empresa afirmou que o ataque foi executado por uma rede suspeita de hackers chineses.

Além disso, outra falha identificada em julho mostrou que hackers poderiam instalar programas, visualizar e excluir dados e criar novas contas de usuário, o que daria comando e controle suficiente aos aparelhos. A falha de segurança, conhecida como “Print Nightmare”, afeta o serviço Windows Print Spooler.

Neste caso específico, os problemas com o Azure são preocupantes, dado que a Microsoft e especialistas em segurança têm pressionado as empresas a abandonar a maior parte de sua própria infraestrutura e confiar na nuvem para obter mais segurança.