مایکروسافت از وجود آسیب پذیری خطرناک در سرویس آژور طی دو سال گذشته

به گفته مایکروسافت در دو سال اخیر کلیه استفاده کنندگان از سرویس ابری آژور در معرض آسیب پذیری جدی قرار داشته اند.

آسیب‌پذیری کشف شده در سرویس آژور در پایگاه داده به هکرها اجازه می‌دهد تا اطلاعات بیش از ۳۳۰۰ مشتری این سرویس را به صورت غیرمجاز دریافت کنند.

مایکروسافت اعلام کرد این آسیب‌پذیری در سال ۲۰۱۹ و با اضافه شدن قابلیتی به نام Jupyter Notebook به Cosmos DB به وجود آمد. عرضه عمومی این ویژگی نیز در ماه فوریه 2021 بوده است.

امی لوت‌واک از شرکت فناوری Wiz که این آسیب پذیری را کشف کرده در مورد آن می گوید: آسیب پذیری موردنظر بدترین نوع در سیستم ابری است و با توجه به اینکه در آن پایگاه داده مرکزی آژور مطرح است امکان دسترسی به پایگاه داده های دیگر نیز وجود خواهد داشت.

به گفته مایکروسافت تاکنون هیچ گونه دسترسی غیرمجاز به اطلاعات و مدرکی مبنی بر آن کشف نشده است. شرکت Wizنیز به دلیل کشف این آسیب پذیری چهل هزار دلار پاداش دریافت کرده است. این شرکت گفته است: با توجه به بررسی هایی که بر روی لاگ ها انجام گرفته هیچگونه رخنه ای در پایگاه داده این سرویس انجام نگرفته است.

طبق گفته های شرکت Wiz آسیب پذیری مورد نظر با دستیابی به کلیدهای ایمنی دسترسی به پایگاه داده را فراهم می کند. در واقع با دسترسی به این کلیدها امکان تغییر و یا حذف اطلاعات هزاران کاربر برای این سرویس وجود دارد.

پس از اعلام شرکت Wiz مبنی بر وجود این آسیب‌پذیری مایکروسافت طی ۴۸ ساعت آن را برطرف کرد. اما امکان تغییر کلیدهای اصلی مشتریان توسط مایکروسافت وجود ندارد و به همین دلیل طی ایمیلی از کاربران خواسته شده تا با تغییر کلید ها از آسیب پذیری در امان بمانند.

Comments are disabled.