Actualización sobre la vulnerabilidad en Azure Cosmos DB Jupyter Notebook Feature – Centro de respuesta de seguridad de Microsoft

El 12 de agosto de 2021, un investigador de seguridad informó de una vulnerabilidad en la función Azure Cosmos DB Jupyter Notebook que podría permitir a un usuario obtener acceso a los recursos de otro cliente mediante el uso de la clave principal de lectura y escritura de la cuenta. Mitigamos la vulnerabilidad de inmediato.

Nuestra investigación indica que no se accedió a los datos de los clientes debido a esta vulnerabilidad por parte de terceros o investigadores de seguridad. Hemos notificado a los clientes cuyas claves pueden haber sido afectadas durante la actividad del investigador para que vuelvan a generar sus claves.

Parte de cualquier postura de seguridad sólida es trabajar con los investigadores para ayudar a encontrar vulnerabilidades, de modo que podamos corregirlas antes de que puedan usarse. Gracias a los investigadores Sagi Tzadik y Nir Ohfeld de Wiz que informaron sobre esta vulnerabilidad y trabajaron con Microsoft Safety Response Middle (MSRC) en Divulgación coordinada de vulnerabilidades (CVD).

¿Qué cuentas de Azure Cosmos DB se vieron potencialmente afectadas?

Esta vulnerabilidad solo afecta a un subconjunto de clientes que tenían la Cuaderno Jupyter función habilitada. Se han enviado notificaciones a todos los clientes que podrían verse potencialmente afectados debido a la actividad del investigador, advirtiéndoles que regeneren su clave primaria de lectura y escritura. Otras claves, incluidas la clave secundaria de lectura y escritura, la clave principal de solo lectura y la clave secundaria de solo lectura, no eran vulnerables.

Si no recibió un correo electrónico o una notificación en el portal, no hay evidencia de que otras partes externas hayan tenido acceso a su clave de cuenta de lectura y escritura principal. Si usted tiene registros de diagnóstico habilitado, también puede revisar los registros en busca de direcciones IP inusuales. Nuestra sugerencia es habilitar el registro de diagnóstico y Defensor azur donde esté disponible y gire periódicamente sus llaves.

Cómo regenerar su clave primaria de lectura y escritura:

Aunque no se accedió a los datos del cliente, se recomienda que vuelva a generar sus claves primarias de lectura y escritura siguiendo los pasos descritos en esta documentación técnica.

También se recomienda como práctica recomendada:

  1. Todos los clientes de Azure Cosmos DB usan una combinación de reglas de firewall, vNety / o Enlace privado de Azure en su cuenta. Estos mecanismos de protección de purple evitan el acceso desde fuera de su crimson y ubicaciones inesperadas.
  2. Además de implementar controles de seguridad de la crimson, fomentamos el uso de Management de acceso basado en roles. El command de acceso basado en roles permite el management de acceso por usuario y principal de seguridad a Azure Cosmos DB esas identidades se pueden auditar en Azure Cosmos DB. registros de diagnóstico.
  3. Si no puede utilizar el manage de acceso basado en roles, le recomendamos que implemente programas rotaciones clave.
  4. Puede encontrar prácticas recomendadas de seguridad adicionales en Azure Cosmos DB línea de foundation de seguridad documentación.

Acciones tomadas

Nos estamos tomando en serio esta vulnerabilidad. Tras informar el problema al Centro de respuesta de seguridad de Microsoft, seguimos nuestro proceso de respuesta a incidentes, que incluía lo siguiente:

  • Inmediatamente comenzamos nuestra investigación y mitigamos el problema desactivando la función de vista previa en el alcance de la vulnerabilidad para todos los clientes.
  • Entonces comenzamos nuestra investigación forense. Aquí es donde miramos lo que informó el investigador y lo comparamos con nuestros registros internos. Luego expandimos nuestra búsqueda más allá de las actividades del investigador para buscar toda la actividad posible para eventos actuales y similares en el pasado. Nuestra investigación no muestra ningún acceso no autorizado que no sea la actividad del investigador.
  • Como parte de nuestra investigación forense, identificamos a todos los clientes para la divulgación y la remediación, que comprendía un subconjunto de clientes de Azure Cosmos DB que estaban usando activamente la función Notebook o crearon una cuenta de Azure Cosmos DB durante el período de actividad del investigador entre el 7 y el 13 de agosto. 2021.
  • Estamos explorando activamente la implementación de salvaguardas adicionales, incluida la actualización del modelo de amenazas y la adición de monitoreo adicional para detectar el acceso no intencional a los datos.



Fuente del articulo