Centrale Azure-database kwetsbaar voor indringer

27 augustus 2021 10:17 | Diederik Toet
Topic Security
Dit artikel delen:

Een veelgebruikte centrale database in Microsofts cloudplatform Azure blijkt kwetsbaar voor misbruik. Hoewel het lek tijdelijk is gedicht, adviseert Microsoft zelfs grote Azure-klanten om nieuwe primary keys aan te maken.

Beveiligingsbedrijf Wiz ontdekte de kwetsbaarheid in de Cosmos DB-database eerder deze maand en informeerde Microsoft erover. Het Wiz-team kon bij verschillende databases achterhalen wat de zogeheten primary keys zijn. Een primary key (primaire sleutel) is een reeks waarden uit een tabelkolom die elke rij in een database (record) uniek maakt.

Als onbevoegden deze waarden in handen krijgen, kunnen ze volgens het team de inhoud van databases lezen, wijzigen, downloaden en verwijderen. Het blijkt bovendien mogelijk om read/write-toegang te krijgen tot de architectuur achter de databank.

Centrale database

Lees ook

Cosmos DB is de centrale database in Microsoft Azure. Veel gebruikers zetten hem in om de enorme berg van gegevens die zij dagelijks ontvangen, te beheren en verwerken. Het gaat bijvoorbeeld om verkooptransacties van webshops. Volgens Wiz gebruiken ook veel van 's werelds grootste ondernemingen de technologie, zoals Coca-Cola en Exxon-Mobil.

Het team achterhaalde de primary keys via visualisatietoepassing Jupyter Notebook, waarmee gebruikers de data vanuit Cosmos DB inzichtelijk maken. De bewuste functionaliteit is binnen 48 uur na de melding tijdelijk uitgeschakeld, in afwachting van een definitieve oplossing.

Nieuwe primary keys

Intussen heeft Microsoft zo'n dertig procent van de gebruikers van de Cosmos DB aangespoord om nieuwe primary keys aan te maken. Hoe deze zogenoemde regeneration gaat, staat uitgelegd op deze pagina van Microsoft.

Het softwarebedrijf meldt aan persbureau Reuters geen aanwijzingen van misbruik te hebben. Volgens Wiz lopen veel meer Cosmos DB-gebruikers risico en moet elke database-account die de bewuste Jupyter Notebook-functionaliteit gebruikt en degene die na februari 2021 is aangemaakt, nieuwe primary keys krijgen.

Volgens Azure-kenner Maarten Goet van it-dienstverlener Wortell is het risico op misbruik van het beveiligingslek in Cosmos DB heel klein. 'Het is vooral een theoretische kwetsbaarheid', vertelt hij aan Computable.

Microsoft ligt al langer onder vuur in verband met beveiligingsproblemen van enkele van zijn producten.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Lees verder

Microsoft opent Amsterdams lab moleculaire simulatie

21 juli 2021 10:56

Microsoft maakt clouddienst van Windows

15 juli 2021 10:59

Overname Riskiq versterkt veiligheid Microsoft

13 juli 2021 11:01

Microsoft-technici overnachtten in datacenters

15 juni 2021 10:10

'Kwetsbaarheid Azure Cosmos DB is theoretisch'

27 augustus 2021 17:30
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in
Meer Nieuws
 
Meer Security
 
Whitepapers
13 Eisen Security Baseline
13 Eisen Security Baseline
13 Eisen Security Baseline
Waarom Zero Trust belangrijk is
Waarom Zero Trust belangrijk is

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-08-27T10:17:00.000Z Diederik Toet


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.