微軟Azure資料庫出現漏洞：波及多家國際品牌

• 2021 年 8 月 28 日
• 資訊
• Azure, 微軟

近期，安全公司Wiz發現了微軟雲服務Azure的旗艦資料庫Cosmos存在超過2年的安全漏洞。

這個漏洞被稱為「ChaosDB」。利用它，網路入侵者能夠讀取、刪除、修改存放在Azure上Cosmos資料庫的資訊。

特別尷尬的是，在微軟Azure雲伺服器上配置Cosmos資料庫過程中，會默認在「Jupiter Notebook」可視化特性啟用錯誤的配置，而這個錯誤的配置會導致攻擊者能夠訪問攻擊向量、觸發許可權提升、破壞資料庫，並且能夠獲取對資料庫託管的主密鑰、以及存儲訪問令牌的訪問許可權。

不過萬幸的是，目前沒有黑客利用這個漏洞發起攻擊。

微軟於8月12日知悉了這一漏洞，並在14日修復了該問題，目前正在緊急發送郵件通知客戶更換私鑰，以避免這個漏洞造成的影響。

據了解，受影響的客戶包括埃森克美孚、可口可樂、賽門鐵克、蔡司等國際知名公司，而且，連微軟自家的Skype、Xbox、Office等服務也被波及到了。