La vulnerabilidad se encuentra en la base de datos Azure Cosmos de Microsoft y permite a intrusos leer, cambiar e incluso borrar información de clientes, según la empresa de ciberseguridad Wiz. Los investigadores pudieron encontrar claves que controlan el acceso a las bases de datos de “miles” de empresas. Entre los clientes afectados se encuentran algunas de las mayores organizaciones del mundo.
La directora de tecnología de Wiz, Ami Luttwak, fue directora de tecnología del Grupo de Seguridad en la Nube de Microsoft. Su equipo descubrió el exploit, denominado “ChaosDB”, el 9 de agosto y lo notificó a Microsoft el 12 de agosto.
“Esta es la peor vulnerabilidad en la nube que se pueda imaginar. Es un secreto a voces”, dijo Luttwak a Reuters. “Esta es la base de datos central de Azure, y pudimos acceder a cualquier base de datos de clientes que quisiéramos”.
Microsoft ha advertido a miles de sus clientes de la nube Azure que sus principales bases de datos han sido comprometidas. Según Wiz, Microsoft ha acordado pagar a los investigadores de seguridad 40.000 dólares por haber encontrado el fallo y haber informado sobre él.
En el correo electrónico a los clientes, Microsoft dijo que ha corregido la vulnerabilidad, añadiendo que no había ninguna evidencia de que el fallo hubiera sido explotado: “No tenemos indicios de que entidades externas al investigador (Wiz) hayan tenido acceso a la clave principal de lectura-escritura”, afirma.
Esta última revelación se produce apenas unos meses después del hackeo de SolarWinds, en el que actores que se sospecha que trabajan para el gobierno ruso robaron el código fuente de Microsoft y provocaron brechas y problemas en todo el mundo.