Według badaczy bezpieczeństwa z Wiz, którzy odkryli wyciek konta i zgłosili go gigantowi Windows, pracownik Microsoftu przypadkowo ujawnił 38 terabajtów prywatnych danych podczas publikowania zestawu danych szkoleniowych AI typu open source w GitHub.
W poniedziałkowym artykule Redmond bagatelizował ten błąd i stwierdził, że jedynie „dzieli się wyciągniętymi wnioskami”, aby pomóc klientom uniknąć popełniania podobnych błędów. Dzieje się tak pomimo twierdzeń Wiz, że wyciekły zestawy danych zawierały klucze prywatne, hasła i ponad 30 000 wewnętrznych wiadomości Microsoft Teams, a także kopie zapasowe danych z dwóch stacji roboczych pracowników.
„Żadne dane klienta nie zostały ujawnione ani żadne inne usługi wewnętrzne nie zostały naruszone przez ten problem” – zespół Microsoft Security Response Center Powiedział. „W odpowiedzi na ten problem nie są wymagane żadne działania ze strony klienta”.
W raport W poniedziałek badacze Waze, Hilai Ben-Sasson i Ronnie Greenberg, opisali szczegółowo, co się stało. Szukając źle skonfigurowanych kontenerów do przechowywania, natknęli się na repozytorium GitHub zespołu badawczego Microsoft AI, które udostępnia kod open source i modele uczenia maszynowego do rozpoznawania obrazów.
To repozytorium zawiera adres URL zawierający niezwykle tolerancyjny token sygnatury dostępu współdzielonego (SAS) dla lokalnego konta magazynu Azure należącego do firmy Microsoft i zawierającego prywatne dane.
A Kod SAS-owy Adres URL lokalizacji, który zapewnia określony poziom dostępu do zasobów usługi Azure Storage. Użytkownik może dostosować poziom dostępu od Tylko do odczytu do Pełna kontrola i w tym przypadku kod SAS-owy został błędnie skonfigurowany z uprawnieniami Pełna kontrola.
Dało to nie tylko zespołowi Wiz – i być może bardziej złowrogim hakerom – możliwość przeglądania wszystkiego na koncie magazynu, ale także umożliwiło usunięcie lub zmianę istniejących plików.
„Nasze badanie wykazało, że to konto zawiera 38 terabajtów dodatkowych danych – w tym kopie zapasowe komputerów pracowników Microsoftu” – stwierdzili Ben-Sasson i Greenberg. „Kopie zapasowe zawierały wrażliwe dane osobowe, w tym hasła do usług Microsoft, tajne klucze i ponad 30 000 wewnętrznych wiadomości Microsoft Teams od 359 pracowników Microsoft”.
Microsoft ze swojej strony twierdzi, że kopie zapasowe komputerów PC należą do dwóch byłych pracowników. Po powiadomieniu Redmond o narażeniu 22 czerwca firma unieważniła kod SAS, aby uniemożliwić dostęp z zewnątrz do konta magazynu, i 24 czerwca zamknęła wyciek.
„Następnie przeprowadzono dodatkowe dochodzenie, aby zrozumieć potencjalny wpływ na naszych klientów i/lub ciągłość działania” – czytamy w raporcie MSRC. „Nasze dochodzenie wykazało, że narażenie to nie stanowiło żadnego ryzyka dla klientów”.
Również w artykule Redmond zalecił SAS szereg najlepszych praktyk, aby zmniejszyć ryzyko związane ze zbyt łagodnymi tokenami. Obejmuje to ograniczenie zakresu adresów URL do najmniejszego zestawu wymaganych zasobów, a także ograniczenie uprawnień tylko do tych, których potrzebuje aplikacja.
Dostępna jest również funkcja, która pozwala użytkownikom ustawić czas wygaśnięcia, a Microsoft zaleca jedną godzinę lub mniej w przypadku adresów URL SAS. To dobra rada i szkoda, że w tym przypadku Redmond nie zjadł własnej karmy dla psów.
Na koniec Redmond obiecuje lepszą wydajność: „Microsoft stale ulepsza nasz zestaw narzędzi do wykrywania i inspekcji, aby aktywnie identyfikować takie przypadki nadmiernie udostępnionych adresów URL SAS i domyślnie wzmacniać nasze bezpieczeństwo”.
To oczywiście nie jedyny problem, z jakim w ostatnich miesiącach borykał się Microsoft w zakresie uwierzytelniania opartego na kluczach.
W lipcu chińscy szpiedzy ukradli tajny klucz Microsoftu i wykorzystali go do włamania się na konta e-mail rządu USA. Badacze firmy Wiz również zajęli się tym problemem związanym z bezpieczeństwem. ®
. „Nieuleczalny entuzjasta muzyki. Bacon geek. Badacz internetu. Hipsterski miłośnik telewizji”.