Microsoft hat am Donnerstag mehrere Tausend Kunden seines Cloud-Dienstes Azure über eine gravierende Sicherheitslücke informiert, durch die Unbefugte vollständigen Zugriff auf die Cloud-Datenbanken der Kunden erlangen konnten. Die Lücke betrifft eines der Hauptprodukte der Cloud-Dienste, die Multi-Model-NoSQL-Datenbank CosmosDB. Microsoft hat die Lücke nach eigenen Angaben inzwischen geschlossen, jedoch sollten betroffene Kunden selbst tätig werden, um unerlaubten Zugriff zu unterbinden. Das berichtet Reuters. Der IT-Security-Spezialist Ami Luttwak vom Unternehmen Wiz hat laut dem Reuters-Bericht die Lücke am 9. August entdeckt und drei Tage später an Microsoft gemeldet. Microsoft äußerte gegenüber Reuters, das Unternehmen habe das Problem sofort behoben, „damit unsere Kunden sicher und geschützt sind“. Man danke den Sicherheitsforschern für ihre Arbeit im Rahmen der koordinierten Offenlegung der Schwachstelle. Außerdem teilte Microsoft Wiz per E-Mail mit, man wolle für das Melden der Lücke 40.000 Dollar auszahlen. Am 26. August informierte Microsoft schließlich mehrere Tausend seiner Cloud-Kunden, die von dem Problem betroffen sind, per E-Mail. In der Nachricht, die Reuters vorliegt, warnt die Firma ihre Kunden, Angreifer hätten die Möglichkeit, sämtliche Hauptdatenbanken zu lesen, zu ändern und sogar zu löschen. Luttwak gelang es, Zugriff auf Primärschlüssel mit Lese-Schreib-Berechtigung (primary read-write keys) zu erhalten, über die er Vollzugriff auf Kunden-Datenbanken erlangte. Weil Microsoft diese Schlüssel nicht selbst ändern könne, forderte die Firma ihre Kunden auf, tätig zu werden und vorsorglich diesen Primärkey der CosmosDB auszutauschen. Obwohl die Sicherheitslücke bereits geschlossen ist, sollten Kunden mit diesem Schritt eine mögliche Kompromittierung der Datenbanken endgültig unterbinden. Microsoft schreibt in der Nachricht weiter, man habe keine Hinweise darauf gefunden, dass Dritte (mit Ausnahme von Wiz) auf die Schlüssel zugegriffen hätten. Luttwak sagte gegenüber Reuters, dies sei die schlimmste Cloud-Schwachstelle, die man sich vorstellen könne. CosmosDB sei die zentrale Datenbank von Azure und das Team von Wiz sei in der Lage gewesen, auf jede gewünschte Kunden-Datenbank zuzugreifen. Luttwak, CTO bei Wiz, war früher CTO bei Microsofts Cloud Security Group. Dieser Datenbankdienst eignet sich, auch wegen seiner Skalierbarkeit, vor allem zur globalen Verwaltung großer Datenmengen. Azure-Kunden wie Coca-Cola, Exxon-Mobil und Citrix nutzen daher CosmosDB, um riesige Datenmengen aus der ganzen Welt nahezu in Echtzeit zu verwalten. CosmosDB wird als eine der einfachsten und flexibelsten Möglichkeiten für Entwickler gepriesen, um Daten zu speichern. Die Datenbank unterstützt kritische Geschäftsfunktionen wie die Verarbeitung von Millionen von Transaktionen oder die Verwaltung von Kundenbestellungen auf E-Commerce-Websites. Jede Schwachstelle in dieser Datenbank zieht damit aber unweigerlich Tausende von Kunden in Mitleidenschaft. In einem Blogbeitrag beschreibt Luttwak detailliert seine Entdeckung der Schwachstelle, die er auf den Namen „ChaosDB“ taufte. Den Angriffsvektor eröffnete eine von Microsoft im Jahr 2019 freigegebene Funktion Jupyter Notebook, mit der Kunden ihre Daten aus der CosmosDB visualisieren und benutzerdefinierte Ansichten erstellen können. Im Februar 2021 aktivierte Microsoft diese Funktion automatisch für alle CosmosDBs. Eine Reihe von Fehlkonfigurationen in der Notebook-Funktion ermöglichte den Sicherheitsforschern eine Privilegienerweiterung auf dem Notebook-Container. Ohne die Details bisher offenzulegen, konnten die Sicherheitsforscher sich den Primärschlüssel für die CosmosDB-Datenbanken beschaffen. Dieser Primärschlüssel ermöglichen den Zugriff auf alle CosmosDB-Datenbanken in Microsoft Azure, die mit diesem Schlüssel eingerichtet wurden. Damit wird man Administrator, der vollen Zugriff (lesen, schreiben, löschen) auf die Datenbank besitzt. Luttwak kritisierte gegenüber Reuters Microsofts Warnungen an seine Kunden: Die Firma habe nur Kunden angeschrieben, deren angreifbare Schlüssel im selben Monat sichtbar seien, in dem Wiz das Problem entdeckt und untersucht habe. Angreifer hätten wegen der langen Dauer, in der die Schwachstelle zugänglich gewesen sei, aber von viel mehr Kunden Schlüssel einsehen können – und diese Kunden habe Microsoft demnach nicht informiert. Auf Nachfrage dazu sagte Microsoft gegenüber Reuters lediglich, möglicherweise betroffene Kunden habe man informiert, erläuterte die Aussage jedoch nicht weiter. Für europäische Azure-Cloud-Kunden, die Personendaten in einer Cosmos DB-Instanz gespeichert haben, stellt sich zudem die Frage, ob eine vorsorgliche DSGVO-Meldung binnen 72 Stunden wegen eines möglichen Sicherheitsvorfalls an die zuständigen Datenschutzbehörden zu senden ist. Microsoft hatte in diesem Jahr bereits mit Schwachstellen und Lücken zu kämpfen. Im Januar wurde bekannt, dass Angreifer über Schwachstellen beim Diensteanbieter SolarWinds tief in das interne Netz von Microsoft eindringen und Quellcode einsehen konnten. Außerdem weist die Druckerverwaltung unter Windows mehrere kritische Schwachstellen auf, gegen die Administratoren tätig werden müssen.