微软 Azure 又现涉及众多客户数据泄露漏洞被曝光，

2024-10-31

据了解，微软表示其Azure云服务中发现了一个数据库漏洞，并且已经存在挺长的一段时间，超过3000个商业服务受到威胁。幸运的是，目前没有证据表明该漏洞已被利用。据 Neowin 外媒报道，微软今天发布了关于 Azure 容器实例（ACI）服务的安全公告，表明发现了一个漏洞，允许同一服务器集群中的用户数据被泄露进行交换。

微软表示，ACI 服务漏洞是由安全公司 Palo Alto Networks 发现的。目前，微软已与该公司合作解决该问题并通知可能受影响的客户。虽然微软尚未公布该漏洞的详细技术细节，但官方表示该漏洞可能允许客户访问同一 ACI 集群上其他客户的数据。微软尚未宣布漏洞的程度，但表示已通过 Azure 服务通知可能受影响的客户。官方表示，目前没有迹象表明客户数据已通过该漏洞泄露。

此外，专业安全公司 Wiz曾发过一份博客：“我们可以完全无限制地访问数以千计的 Microsoft Azure 客户（包括许多财富 500 强公司）的帐户和数据库。 Wit 将漏洞命名为#ChaosDB 并公布了其对该数据库进行黑客攻击的全过程。

首先，获取 Cosmos DB 客户端的主键，还有对客户端 Cosmos DB主键的访问权限。攻击者可以访问客户端的 Cosmos DB 主键和其他高度敏感的机密，例如 Notebook blob 对象的存储访问令牌。

此外通过访问 Cosmos DB 中的客户数据，收集 Cosmos DB 机密后，攻击者可以使用这些密钥获得对存储在受影响 Cosmos DB 帐户中的所有数据的管理员访问权限。泄露密钥以获得对客户资产和数据的长期访问权限。然后就可以直接从 Internet 控制 Cosmos DB 客户端，并拥有完整的读/写/删除权限。