Microsoft ha mitigato la vulnerabilità scoperta nel servizio cloud Azure Cosmos DB che, negli ultimi due anni, ha completamente esposto i dati di oltre 3.300 aziende in tutto il mondo, tra cui molte comprese nella lista Fortune 500.
Ma attenzione, non è finita qui: la stessa Microsoft consiglia a tutti i clienti alcune ulteriori attività di mitigazione.
Indice degli argomenti
Vulnerabilità in Microsoft Azure: i rischi per le aziende
La falla (scoperta il 9 agosto da un ricercatore della società di sicurezza Wiz e segnalata il 12 agosto a Microsoft che l’ha poi resa pubblica lo scorso 26 agosto), potrebbe potenzialmente consentire a un utente di accedere con privilegi di amministratore alle risorse di un altro sfruttandone la chiave primaria di lettura/scrittura dell’account e senza richiederne l’autorizzazione.
In pratica, sfruttando con successo la vulnerabilità, un attaccante riuscirebbe a ottenere un accesso completo e illimitato ai dati archiviati nel cloud.
La vulnerabilità, ribattezzata ChaosDB, è stata “introdotta” nel 2019 quando Microsoft ha aggiunto la funzione di visualizzazione dei dati chiamata Jupyter Notebook a Cosmos DB. La funzione è stata poi attivata di default per tutti i Cosmos DB lo scorso mese di febbraio 2021.
Tra i clienti del servizio cloud Azure Cosmos DB compaiono grossi nomi del calibro di Coca-Cola, Liberty Mutual Insurance, Mercedes Benz, Symantec, Cytrix, Exxon-Mobil e Walgreens, solo per citarne alcuni.
Da parte sua, Microsoft ha fatto sapere di non avere “alcuna indicazione che entità esterne al ricercatore abbiano avuto accesso alla chiave primaria di lettura/scrittura associata agli account Azure Cosmos DB. Inoltre, non siamo a conoscenza di alcun accesso ai dati a causa di questa vulnerabilità”.
Vulnerabilità grave in Microsoft Azure, server a rischio: ecco la patch
I dettagli della vulnerabilità in Microsoft Azure
Secondo quanto riferito dal team di ricerca della società di sicurezza cloud Wiz, il bug avrebbe potuto permettere a un eventuale attaccante di sfruttare una catena di bug nella funzione Jupyter Notebook, abilitata di default e progettata per aiutare i clienti a visualizzare i dati.
Lo sfruttamento della vulnerabilità avrebbe quindi consentito di accedere alle credenziali Cosmos DB di altri utenti, compresa la chiave di accesso primaria.
La vulnerabilità, inoltre, ha un exploit abbastanza banale che non richiede alcun accesso precedente all’ambiente di destinazione né tantomeno alcuna interazione da parte della vittima designata.
Gli account Azure Cosmos DB potenzialmente esposti
Secondo quanto verificato dal Microsoft Security Response Center (MSRC), la vulnerabilità ChaosDB colpisce solo un sottoinsieme di clienti che avevano la funzione Jupyter Notebook abilitata.
Le notifiche di esposizione alla vulnerabilità sono dunque state inviate a tutti i clienti che potrebbero essere potenzialmente interessati a causa dell’attività di ricerca, consigliando loro di rigenerare la loro chiave primaria di lettura-scrittura. Altre chiavi, tra cui la chiave secondaria di lettura/scrittura, la chiave primaria di sola lettura e la chiave secondaria di sola lettura non erano vulnerabili.
Se le aziende non hanno ricevuto alcuna e-mail o una notifica nel pannello di controllo di Azure Cosmos DB, allora significa che non ci sono prove che parti esterne abbiano avuto accesso alla chiave primaria di lettura e scrittura dei dati archiviati nel cloud.
Come ulteriore verifica, nel caso in cui i log diagnostici siano stati abilitati, è possibile anche esaminarli alla ricerca di eventuali accessi effettuati da indirizzi IP insoliti.
Come mitigare il rischio e bloccare eventuali attacchi
Per mitigare il rischio e bloccare i potenziali attacchi, il Microsoft Security Response Center (MSRC) consiglia a tutti i clienti Azure (quindi non solo quelli che hanno ricevuto la notifica di esposizione alla vulnerabilità ChaosDB) di rigenerare le Cosmos DB Primary Keys che potrebbero essere state rubate prima che la funzione vulnerabile fosse disabilitata.
Per farlo, è sufficiente seguire i passaggi indicati nella documentazione tecnica pubblicata dalla stessa Microsoft, che inoltre consiglia ai clienti di intraprendere anche le seguenti azioni raccomandate per proteggere ulteriormente i database Azure Cosmos DB:
- programmare una regolare rigenerazione delle chiavi primarie e secondarie;
- come best practice standard di sicurezza, considerare l’utilizzo del firewall Azure Cosmos DB e l’integrazione della rete virtuale per controllare l’accesso agli account a livello di rete;
- se si utilizza l’Azure Cosmos DB Core (SQL) API, è opportuno considera l’uso delle Azure Cosmos DB Role-Based Access Control (RBAC) per autenticare le operazioni di database con Azure Active Directory invece delle chiavi primarie/secondarie. Con RBAC, si ha infatti la possibilità di disabilitare completamente le chiavi primarie/secondarie del proprio account di accesso ai dati sul cloud;
- adottare le best practice di sicurezza indicate nella documentazione di base sulla sicurezza di Azure Cosmos DB.
Sicurezza nel cloud: come Amazon, Google e Microsoft proteggono i nostri dati con la crittografia
Le azioni di mitigazione intraprese da Microsoft
Alla luce di quanto successo, Microsoft ha sottolineato che parte di ogni robusta postura di sicurezza è lavorare con i ricercatori per individuare più velocemente le vulnerabilità, in modo da poterle correggere prima che possano essere utilizzate. In questo senso, il ricercatore Wiz che ha segnalato la vulnerabilità ChaosDB ha lavorato con il Microsoft Security Response Center (MSRC) sotto Coordinated Vulnerability Disclosure (CVD).
Secondo quanto riportato dalla Reuters, inoltre, Microsoft avrebbe riconosciuto a Wiz una ricompensa di 40.000 dollari per la scoperta della vulnerabilità.
Subito dopo la segnalazione della falla al Microsoft Security Response Center, quindi, è stato prontamente attivato il processo di risposta agli incidenti che comprende quanto segue:
- immediata mitigazione del problema disattivando la funzione di anteprima nell’ambito della vulnerabilità per tutti i clienti;
- avvio dell’indagine forense che ha consentito di analizzare ciò che il ricercatore Wiz ha riportato e confrontarlo con i registri interni. Microsoft ha quindi ampliato la ricerca oltre le attività del ricercatore per cercare tutte le attività possibili per gli eventi attuali e simili nel passato. L’indagine non ha quindi mostrato alcun accesso non autorizzato oltre all’attività del ricercatore;
- come parte dell’indagine forense, Microsoft ha identificato tutti i clienti per la sensibilizzazione e il rimedio alla falla di sicurezza;
- i ricercatori Microsoft stanno, inoltre, esplorando attivamente l’implementazione di ulteriori misure di sicurezza, tra cui l’aggiornamento del modello di minaccia e l’aggiunta di un monitoraggio aggiuntivo per rilevare l’accesso involontario ai dati.
