CosmosDB là một dịch vụ cơ sở dữ liệu đa mô hình của nền tảng đám mây Microsoft Azure. Nhưng một nhóm nghiên cứu ở công ty bảo mật Wiz mới đây đã tìm ra lỗ hổng chứa khóa truy cập có thể dùng để đột nhập vào cơ sở dữ liệu của hàng nghìn khách hàng.
Bởi vì Microsoft không thể tự mình thay đổi các khóa này, gã khổng lồ phần mềm đã phải viết email cảnh báo hôm thứ năm tới toàn thể khách hàng, trong đó có những công ty lớn nhất thế giới, rằng kẻ xâm nhập vào dịch vụ đám mây có thể đọc, thay đổi hoặc thậm chí xóa đi cơ sở dữ liệu chính của công ty.
Tuy nhiên, lá thư của Microsoft cho biết hiện hãng vẫn chưa tìm thấy bằng chứng nào cho thấy lỗ hổng đã bị tin tặc khai thác.
Cũng trong một email khác gửi Wiz, Microsoft đã đồng ý thưởng 40.000 USD cho công ty này vì tìm ra và báo cáo lỗ hổng lên Microsoft.
“Chúng tôi đã sửa lỗi này ngay lập tức để đảm bảo khách hàng của mình an toàn và được bảo vệ. Chúng tôi cũng cảm ơn đội ngũ các nhà nghiên cứu đã làm việc hợp tác để tìm ra lỗ hổng”, đại diện Microsoft trả lời Reuters.
Nhóm nghiên cứu Wiz đã tìm ra lỗ hổng này vào ngày 9/8 và báo cáo lên Microsoft vào ngày 12/8. Họ gọi đây là ChaosDB vì lỗ hổng có thể tạo ra hỗn loạn khủng khiếp khi kẻ gian có thể truy cập vào cơ sở dữ liệu chính của Azure và lấy đi bất cứ thứ gì chúng muốn lấy của khách hàng.
Giải thích kỹ hơn, Wiz cho biết lỗ hổng tồn tại trong một công cụ lâu năm gọi là Jupyter Notebook, mà mới được bật lên mặc định trong CosmosDB từ tháng 2 năm nay.
Microsoft gần đây đang dính vào nhiều vụ bị tin tặc xâm nhập. Kể từ năm ngoái, vụ tấn công vào SolarWinds khiến máy chủ thư điện tử Exchange của Microsoft đã trở thành miếng mồi ngon cho tin tặc. Cho đến ít ngày trước, máy chủ này tiếp tục bị tin tặc tấn công đòi tiền chuộc qua lỗ hổng ProxyShell.
Tuy vậy, việc Azure có lỗ hổng nghiêm trọng còn đáng lo ngại hơn khi Microsoft hối thúc các khách hàng từ bỏ cơ sở hạ tầng của riêng mình để chuyển lên đám mây, vốn hiếm khi bị tấn công nhưng thiệt hại là cực kỳ lớn một khi có lỗ hổng.
Phòng nghiên cứu để xếp hạng và đánh giá mức độ nghiêm trọng trong lỗ hổng ở phần mềm đã tồn tại từ lâu. Nhưng một hệ thống tương tự để đánh giá lỗ hổng trong kiến trúc đám mây là chưa có, vì thế vẫn còn nhiều lỗ hổng nghiêm trọng mà người dùng chưa ý thức được, theo đại diện Wiz.