Microsoft pada hari Kamis memperingatkan ribuan pelanggan komputasi awannya, termasuk beberapa perusahaan terbesar di dunia, bahwa penyusup dapat memiliki kemampuan untuk membaca, mengubah atau bahkan menghapus basis data utama mereka, menurut salinan email dan peneliti keamanan siber.

Kerentanan ada di basis data Cosmos DB andalan Microsoft Azure. Sebuah tim peneliti di perusahaan keamanan Wiz menemukan bahwa ia dapat mengakses kunci yang mengontrol akses ke database yang dipegang oleh ribuan perusahaan. Wiz Chief Technology Officer Ami Luttwak adalah mantan chief technology officer di Microsoft Cloud Security Group.

Karena Microsoft tidak dapat mengubah kunci itu sendiri, Dilihat dari Review Aplikasi Terpercaya ia mengirim email kepada pelanggan pada hari Kamis untuk meminta mereka membuat yang baru. Microsoft setuju untuk membayar Wiz $40.000 (kira-kira Rs. 30 lakh) untuk menemukan cacat dan melaporkannya, menurut email yang dikirim ke Wiz.

Serangan Ransomware Kaseya Mempengaruhi Hingga 1.500 Bisnis, CEO Mengatakan
“Kami segera memperbaiki masalah ini untuk menjaga keamanan dan perlindungan pelanggan kami. Kami berterima kasih kepada para peneliti keamanan karena bekerja di bawah pengungkapan kerentanan terkoordinasi,” kata Microsoft kepada Reuters.

Email Microsoft kepada pelanggan mengatakan tidak ada bukti bahwa cacat tersebut telah dieksploitasi. “Kami tidak memiliki indikasi bahwa entitas eksternal di luar peneliti (Wiz) memiliki akses ke kunci baca-tulis utama,” kata email itu.

“Ini adalah kerentanan cloud terburuk yang dapat Anda bayangkan. Ini adalah rahasia jangka panjang,” kata Luttwak kepada Reuters. “Ini adalah database pusat Azure, dan kami bisa mendapatkan akses ke database pelanggan apa pun yang kami inginkan.”

Pakar Keamanan Siber Menjelaskan Bagaimana Anda Dapat Melindungi Diri Dari Serangan Ransomware
Tim Luttwak menemukan masalah tersebut, yang dijuluki ChaosDB, pada 9 Agustus dan memberi tahu Microsoft 12 Agustus, kata Luttwak.

Cacatnya ada di alat visualisasi yang disebut Jupyter Notebook, yang telah tersedia selama bertahun-tahun tetapi diaktifkan secara default di Cosmos mulai Februari. Setelah Reuters melaporkan kekurangan tersebut, Wiz merinci masalah tersebut dalam sebuah posting blog .

Luttwak mengatakan bahkan pelanggan yang belum diberi tahu oleh Microsoft dapat memiliki kunci mereka digesek oleh penyerang, memberi mereka akses hingga kunci tersebut diubah. Microsoft hanya memberi tahu pelanggan yang kuncinya terlihat bulan ini, ketika Wiz sedang mengerjakan masalah tersebut.

Microsoft mengatakan kepada Reuters bahwa “pelanggan yang mungkin terkena dampak menerima pemberitahuan dari kami,” tanpa menjelaskan lebih lanjut.

Pengungkapan itu muncul setelah berbulan-bulan berita keamanan buruk bagi Microsoft. Perusahaan itu dilanggar oleh peretas pemerintah Rusia yang diduga sama yang menyusup ke SolarWinds , yang mencuri kode sumber Microsoft. Kemudian sejumlah besar peretas masuk ke server email Exchange saat tambalan sedang dikembangkan.

Perbaikan terbaru untuk kesalahan printer yang memungkinkan pengambilalihan komputer harus dilakukan berulang kali. Kelemahan Exchange lainnya minggu lalu mendorong peringatan mendesak pemerintah AS bahwa pelanggan perlu menginstal patch yang dikeluarkan beberapa bulan lalu karena geng ransomware sekarang mengeksploitasinya.

Masalah dengan Azure sangat meresahkan, karena Microsoft dan pakar keamanan luar telah mendorong perusahaan untuk meninggalkan sebagian besar infrastruktur mereka sendiri dan mengandalkan cloud untuk keamanan lebih.

Tetapi meskipun serangan cloud lebih jarang terjadi, mereka bisa lebih menghancurkan ketika terjadi. Terlebih lagi, beberapa tidak pernah dipublikasikan.

Laboratorium penelitian yang dikontrak secara federal melacak semua kelemahan keamanan yang diketahui dalam perangkat lunak dan menilainya berdasarkan tingkat keparahannya. Tetapi tidak ada sistem yang setara untuk lubang dalam arsitektur cloud, sehingga banyak kerentanan kritis tetap tidak diungkapkan kepada pengguna, kata Luttwak.

Leave a Reply

Your email address will not be published. Required fields are marked *