{"id":257041,"date":"2021-08-27T12:15:15","date_gmt":"2021-08-27T10:15:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257041"},"modified":"2021-08-30T18:26:58","modified_gmt":"2021-08-30T16:26:58","slug":"azure-tausende-kunden-von-chaosdb-schwachstelle-in-azure-cosmos-db-bedroht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/27\/azure-tausende-kunden-von-chaosdb-schwachstelle-in-azure-cosmos-db-bedroht\/","title":{"rendered":"Azure: Tausende Kunden von ChaosDB-Schwachstelle in Azure Cosmos DB bedroht"},"content":{"rendered":"

[English<\/a>]Heftiger Schlag f\u00fcr Nutzer der Microsoft Azure-Cloud, falls eine Cosmos DB involviert ist (das DB steht f\u00fcr Data Breach, hat nur noch keiner gemerkt). Es gab eine (inzwischen geschlossene) schwere Sicherheitsl\u00fccke, die Angreifern die \u00dcbernahme der Datenbank erm\u00f6glichte. Microsoft hat wohl damit begonnen, die betroffenen Azure-Kunden zu informieren. Erg\u00e4nzung:<\/strong> Microsoft hat jetzt Anweisungen f\u00fcr Kunden herausgegeben, um die Cosmos DB abzusichern.<\/p>\n

<\/p>\n

\"\"Das Ganze wurde im August 2021 von Sicherheitsforschern des Anbieters Wiz entdeckt. Der nachfolgende Tweet <\/a>spricht das Problem an – die bezeichnen Cosmos als Chaos DB. Im Wiz-Blog<\/a> beschreiben Nir Ohfeld und Sagi Tzadik, wie trivial sie die Datenbank f\u00fcr viele Azure-Kunden \u00fcbernehmen konnten.<\/p>\n

\"Cosmos<\/a><\/p>\n

Cosmos DB f\u00fcr Azure Kunden<\/h2>\n

Azure Cosmos DB<\/a> wurde 2017 als propriet\u00e4re NonSQL-Datenbank von Microsoft f\u00fcr seine Azure-Kunden freigegeben<\/a>. Es handelt sich um einen global verteilten Multi-Modell-Datenbankdienst \"f\u00fcr die globale Verwaltung von gro\u00dfen Datenmengen\". Cosmos DB ist schemaunabh\u00e4ngig und\u00a0 horizontal skalierbar. Intern speichert Cosmos DB \"Elemente\" in \"Containern\", so die Wikipedia.<\/p>\n

Wiz schreibt<\/a>, dass Kunden wie Coca-Cola, Exxon-Mobil und Citrix Cosmos DB nutzen, um riesige Datenmengen aus der ganzen Welt nahezu in Echtzeit zu verwalten. Cosmos DB sei eine der einfachsten und flexibelsten M\u00f6glichkeiten f\u00fcr Entwickler, Daten zu speichern und unterst\u00fctze kritische Gesch\u00e4ftsfunktionen wie die Verarbeitung von Millionen von Transaktionen oder die Verwaltung von Kundenbestellungen auf E-Commerce-Websites, so die Wiz-Leute.<\/p>\n

Masterkey der Datenbank exfiltiert<\/h2>\n

Das Sicherheitsforschungsteam von Wiz sucht st\u00e4ndig nach neuen Angriffsfl\u00e4chen in der Cloud. Mitte August 2021 entdeckten die Sicherheitsforscher eine bisher unbekannte L\u00fccke im Datenbankdienst von Azure, Cosmos DB. Die Forscher waren in der Lage, \u00fcber einen Master-Key uneingeschr\u00e4nkten Zugang zu den Konten und Datenbanken von mehreren tausend Microsoft Azure-Kunden zu erhalten, darunter viele Fortune-500-Unternehmen.<\/p>\n

Im Jahr 2019 f\u00fcgte Microsoft eine Funktion namens Jupyter Notebook zu Cosmos DB hinzu, die im Februar 2021 automatisch f\u00fcr alle Cosmos DBs aktiviert wurde. Mit der Funktion k\u00f6nnen Kunden ihre Daten visualisieren und benutzerdefinierte Ansichten erstellen. Eine Reihe von Fehlkonfigurationen in der Notebook-Funktion er\u00f6ffnete den Sicherheitsforscher einen neuen Angriffsvektor, den diese ausnutzen konnten. Kurz gesagt, der Notebook-Container erm\u00f6glichte eine Privilegienerweiterung auf andere Kunden-Notebooks (die Sicherheitsforscher wollen in K\u00fcrze technische Details zur Eskalation bekannt geben).<\/p>\n

\"Jupyter
\n(Quelle: Wiz)<\/p>\n

Wie es ausschaut, gelang den Sicherheitsforscher von Wiz \u00fcber diese Funktion sich Zugang zu den Prim\u00e4rschl\u00fcsseln der Cosmos DB zu verschaffen. Ein Angreifer k\u00f6nnte Zugang zu den Prim\u00e4rschl\u00fcsseln von Cosmos DB und anderen hochsensiblen Geheimnissen wie dem Zugriffstoken f\u00fcr den Notebook-Blob-Speicher erhalten. Diese Prim\u00e4rschl\u00fcssel erm\u00f6glichen den Zugriff auf alle Datenbanken, die mit diesem Schl\u00fcssel eingerichtet wurden. Das ist quasi der Administrator, der vollen Zugriff (lesen, schreiben, l\u00f6schen) auf die Datenbank erm\u00f6glicht. Damit ist der Worst Case eingetreten, denn ein Angreifer, der diesen Schl\u00fcssel erbeutet, k\u00f6nnten weltweit viele Datenbanken von Azure Kunden auslesen, manipulieren oder l\u00f6schen. Gegen\u00fcber Reuters<\/a> sagte Ami Luttwak von Wiz:<\/p>\n

Dies ist die schlimmste Cloud-Schwachstelle, die man sich vorstellen kann. […] Dies ist die zentrale Datenbank von Azure, und wir waren in der Lage, Zugang zu jeder Kundendatenbank zu erhalten, die wir wollten.<\/p><\/blockquote>\n

Die Sicherheitsforscher geben an, dass die Schwachstelle sich auf triviale Weise ausnutzen lasse, ohne dass ein vorheriger Zugriff auf die Zielumgebung erforderlich ist. Der Schwachstelle, die Tausende von Unternehmen, darunter zahlreiche Fortune-500-Unternehmen, betrifft, wurde der Name ChaosDB verpasst.<\/p>\n

GAU f\u00fcr Microsoft<\/h2>\n

Die Sicherheitsforscher konnten, nachdem sie die Cosmos DB-Prim\u00e4rschl\u00fcssel erbeutet hatten, zeigen, dass ein Angreifer diese Schl\u00fcssel nutzen kann, um vollen Administrator-Zugriff auf alle Daten zu erhalten, die in den betroffenen Cosmos DB-Konten gespeichert sind. Entdeckt wurde die Schwachstelle am 9. August 2021, die Meldung erfolgte am 12. August 2021 an Microsoft.<\/p>\n

48 Stunden nach der Meldung an Microsoft hatten dessen Sicherheitsleute die angreifbare Jupyter Notebook-Funktion bereits deaktiviert. Microsoft gibt an, dass betroffene Azure-Kunden \u00fcber den Vorfall benachrichtigt wurden. Laut Microsoft g\u00e4be es auch keinen Hinweis darauf, dass externe Stellen au\u00dferhalb des Forschers (Wiz) Zugriff auf den prim\u00e4ren Schreib-Lese-Schl\u00fcssel hatten.<\/p>\n

Die Sicherheitsforscher von Wiz erhielten eine Pr\u00e4mie von 40.000 US-Dollar f\u00fcr die Meldung der Sicherheitsl\u00fccke. Sie geben an, dass die Schwachstelle seit Februar 2021 existierte. Die Empfehlung lautet, dass auch Kunden, die keine Benachrichtigung durch Microsoft erhielten, diesen Masterkey austauschen sollten. Denn es g\u00e4be die M\u00f6glichkeit, dass unbefugte Dritte bereits Zugriff hatten oder Zugriff versuchen.<\/p>\n

Das ist jetzt ein fetter Kratzer am hohen Loblied der Cloud-Sicherheit und f\u00fcgt sich nahtlos an die Desaster wie den Hafnium-Exchange-Hack vom Fr\u00fchjahr 2021 ein, weil Microsoft Schwachstellen nicht schnell genug mit Sicherheitsupdates versehen konnte. Fehler k\u00f6nnen zwar immer wieder passieren, aber in der Cloud betrifft das schnell Hundertausende oder Millionen Kunden. Was mich jetzt auch umtreibt: Was machen europ\u00e4ische Kunden, die Microsoft Azure mit der Cosmos DB verwendet haben? Theoretisch m\u00fcssten jetzt Meldungen an die zust\u00e4ndigen Datenschutzbeh\u00f6rden gehen, dass eine potentielle Schwachstelle bestand, \u00fcber die pers\u00f6nliche Daten von Personen abgeflossen sein k\u00f6nnten.<\/p>\n

Erg\u00e4nzung:<\/strong> Microsoft hat bereits zum 20. August 2021 Anweisungen f\u00fcr Kunden<\/a> herausgegeben, um die Cosmos DB abzusichern. Die Kollegen von Bleeping Computer haben diesen Artikel<\/a> zum Thema dar\u00fcber verfasst.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Heftiger Schlag f\u00fcr Nutzer der Microsoft Azure-Cloud, falls eine Cosmos DB involviert ist (das DB steht f\u00fcr Data Breach, hat nur noch keiner gemerkt). Es gab eine (inzwischen geschlossene) schwere Sicherheitsl\u00fccke, die Angreifern die \u00dcbernahme der Datenbank erm\u00f6glichte. Microsoft hat … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4375,4328],"class_list":["post-257041","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-azure","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257041","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257041"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257041\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257041"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257041"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257041"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}