Microsoft heeft klanten gewaarschuwd voor een kritieke kwetsbaarheid in Azure Cosmos DB, de NoSQL-databaseservice van Microsoft die klanten in staat stelt om databases eenvoudig in meerdere regio’s beschikbaar te maken.
De kwetsbaarheid is ongeveer half augustus gemeld aan Microsoft door beveiligingsonderzoekers van Wiz en stelt kwaadwillenden in staat om zonder autorisatie beheerdersrechten te verkrijgen over de Cosmos database van een andere klant.
De kwetsbaarheid kan op redelijk eenvoudige wijze worden uitgebuit, zonder voorafgaande toegang tot de doelomgeving, en treft duizenden organisaties, stellen de onderzoekers.
Volgens Wiz heeft Microsoft onmiddellijk actie ondernomen om het probleem te verhelpen en is de kwetsbare functie binnen 48 uur na de melding uitgeschakeld. “De kwetsbaarheid is echter al maanden te misbruiken en elke Cosmos DB-klant moet ervan uitgaan dat hij is blootgesteld”, aldus de onderzoekers.
Microsoft heeft vooralsnog geen reden om aan te nemen dat er misbruik is gemaakt van de kwetsbaarheid, zo stelt het bedrijf een bericht aan klanten. Vorige week heeft Microsoft meer dan 30% van de Cosmos DB-klanten op de hoogte gebracht van het mogelijke beveiligingslek.
