Die Worte, die Ami Luttwak vom Sicherheitsdienstleister Wiz für ein aktuelles Problem bei Azure findet, lassen an Deutlichkeit kaum etwas vermissen. Als die "schlimmste Cloud-Sicherheitslücke, die man sich vorstellen kann", bezeichnet er gegenüber der Nachrichtenagentur Reuters ein aktuelles Problem bei dem Microsoft-Dienst.

Vollzugriff

Drastische Worte, die der Experte aber nicht vollständig zu Unrecht ergreift. Über eine Lücke im Datenbankdienst Cosmos DB hätten Angreifer problemlos von außen die Primärschlüssel der Kunden abgreifen und so uneingeschränkten Zugriff auf alle zugehörigen Datenbanken erhalten können – also sowohl lesend als auch schreibend. Das heißt, sie hätten nicht nur die Inhalte kopieren, sondern auch manipulieren können.

Zumindest gibt es einen – kleinen – Trost. Bei Cosmos DB handelt es sich um eine global verteilte Datenbank, die Azure-Kunden optional zur Verfügung steht. Wer dieses Angebot nicht nutzt, ist insofern nicht betroffen. Für jene, die Cosmos DB aktiv einsetzen, sieht es dann weniger erfreulich aus, immerhin ist die Lücke in einem Tool zur Visualisierung von Datenbeständen namens Jupyter Network zu finden, das seit Februar standardmäßig aktiviert ist.

Umfang

Von dem Vorfall sollen laut einem Bericht von Bloomberg mehr als 3.300 Unternehmen betroffen sein. Darunter befinden sich durchaus prominente Namen, so setzen etwa auch Coca-Cola und Zeiss sowie Microsofts eigener Internettelefoniedienst Skype Azure mit Cosmos DB ein. Es gibt aber auch gute Nachrichten: Laut Microsoft gebe es bisher keine Hinweise darauf, dass die Lücke auch aktiv ausgenutzt wurde. Zudem hat das Unternehmen das betreffende Feature nach einer Information von Wiz bereits Anfang August deaktiviert, womit die Azure-Instanzen auch nicht mehr angreifbar waren.

Trotzdem gibt es nun Handlungsbedarf: Microsoft rät den Nutzern von Cosmos DB dringend dazu, ihre Primärschlüssel zu erneuern, immerhin hätten Dritte darauf Zugriff haben können – sie gelten also als potenziell kompromittiert. Unklar bleibt vorerst, wie lange die Lücke bereits in Cosmos DB bestand, das entsprechende Feature wurde im September 2019 eingeführt. (apo, 30.8.2021)