Uma vulnerabilidade no serviço de computação cloud Microsoft Azure deixou vários milhares de clientes susceptíveis a ciberataques. A Microsoft avisou os seus clientes da existência de uma falha no seu serviço de gestão de bases de dados Cosmos DB, depois de ter sido descoberta pela empresa de segurança Wiz.
Num artigo publicado pela Wiz, é mencionado que foi possível usar a vulnerabilidade, denominada ‘ChaosDB’ para obter acesso ilimitado a contas e a bases de dados de milhares de clientes do serviço Azure.
Os clientes do serviço Azure, incluindo grandes empresas, como a Coca-Cola, usam o Cosmos DB para gerir as enormes quantidades de dados que recebem em tempo real. A Wiz explica que encontrou um conjunto de falhas numa funcionalidade do Cosmos DB, chamada Jupyter Notebook, que serve para ajudar os clientes a visualizarem os seus dados. Esta funcionalidade existe desde 2019, mas só chegou a todos os clientes do serviço em Fevereiro deste ano. A Wiz diz que um conjunto de configurações deficientes na funcionalidade criaram uma falha que permite a qualquer utilizador descarregar, apagar ou manipular uma grande quantidade de bases de dados comerciais e também permite aceder à arquitectura subjacente do Cosmos DB.
A empresa de segurança salienta que a Microsoft desligou a funcionalidade em menos de 48 horas, após ter conhecimento da falha de segurança e notificou cerca de 30% dos seus clientes, mas avisou que provavelmente há mais empresas afectadas. A Microsoft notificou apenas os clientes que foram afectados durante o período de testes da Wiz que decorreu no início do mês de Agosto. No entanto, a Wiz acredita que esta vulnerabilidade existe há meses, possivelmente até há anos.
Os clientes do serviço Azure foram aconselhados a regenerar as suas chaves de acesso, mesmo que não tenham sido notificados pela Microsoft. Na mensagem enviada aos clientes a dar conta da vulnerabilidade, a Microsoft diz que não qualquer indício de que esta vulnerabilidade tenha sido explorada por cibercriminosos.
