한 보안 회사는 마이크로소프트 애저 클라우드 서비스 고객의 데이터에 대량으로 접근할 수 있는 문제를 발견해 “상상할 수 있는 최악의 클라우드 취약점”이라고 말했다. 마이크로소프트는 보안 결함이 악의적인 행위자들에 의해 악용되었다는 사실을 알지 못한다고 밝혔습니다.
결함을 발견한 회사는 데이터베이스에 액세스할 수 있었고 콘텐츠를 볼 수 있을 뿐만 아니라 Cosmos 데이터베이스에서 정보를 변경하고 삭제할 수 있는 능력이 있었습니다.
수천 개의 회사 데이터베이스에 대한 액세스를 제어하는 키에 액세스할 수 있다는 것을 발견한 것은 보안 회사 Wiz의 연구팀이었습니다. Wiz의 최고 기술 책임자인 Ami Luttwak은 전직 Microsoft 클라우드 보안 그룹 관리자였으므로 결함을 발견할 때도 유리하게 작용했습니다.
코스모스 데이터베이스에 접근하기 위해 먼저 보안 회사는 고객 데이터베이스의 기본 키에 대한 액세스 권한을 얻었습니다. 2019년에 Microsoft는 고객이 데이터를 시각화하고 사용자 지정 보기를 만들 수 있도록 하는 Jupyter Notebook이라는 기능을 Cosmos 데이터베이스에 추가했음을 기억해야 합니다. 이 기능은 2021년 2월에 모든 Cosmos 데이터베이스에 대해 자동으로 활성화되었습니다.
Wiz는 이 Cosmos 데이터베이스를 사용하는 회사 중 일부가 Coca-Cola, Exxon-Mobil 및 Citrix와 같은 거대 기업임을 상기시켜 줍니다. 이 서비스의 자체 공식 웹사이트에서 볼 수 있습니다.
Microsoft는 이 키를 변경할 수 없습니다.
마이크로소프트는 이러한 키 자체를 변경할 수 없기 때문에 목요일에 고객에게 새 키를 생성하라고 이메일을 보냈습니다. Microsoft는 버그를 찾고 보고하는 대가로 Wiz에 40,000달러를 지불하는 데 동의했습니다. Microsoft 관계자는 보안 문제에 대해 더 이상 언급하지 않았습니다.
Microsoft가 Wiz에 보낸 이메일에서 취약점을 수정했으며 버그가 악용되었다는 증거가 없다고 밝혔습니다. 메일은 “연구원(Wiz) 외부의 외부 엔터티가 기본 읽기-쓰기 키에 액세스했다는 표시가 없습니다.”라고 말합니다.
“이것은 당신이 상상할 수 있는 최악의 클라우드 취약점입니다. 이는 오래 지속되는 비밀입니다.”라고 Wiz의 최고 기술 책임자인 Ami Luttwak은 말합니다. “이것은 Azure의 중앙 데이터베이스이며 우리가 원하는 모든 고객 데이터베이스에 액세스할 수 있었습니다.”라고 그는 덧붙입니다.