Vulnerabilidad en Microsoft es mucho más grave de lo esperado
Hay que decir que Microsoft pagó a Wiz 40 mil dólares por el descubrimiento.
CIUDAD DE MÉXICO.- A pesar de que las grandes compañías de tecnología desarrollan y ofrecen sus servicios con una capa de protección de manera que sus usuarios se sientan seguros, en ocasiones no notan que dejan alguna ventana abierta que puede ser aprovechada por los delincuentes informáticos. Cuando se trata de sistemas de alta demanda como Microsoft Azure el impacto puede ser enorme, y de hecho, la empresa está advirtiendo a sus clientes sobre los efectos de una importante vulnerabilidad.
Microsoft está enviando una alerta a miles de sus clientes de computación en la nube de Azure, incluidas muchas de las empres más valiosas del mundo, para explicarles sobre una vulnerabilidad que dejó sus datos completamente expuestos durante los últimos dos años. Entre los clientes que podrían haber sido afectados por esta situación se encuentran compañías como Coca Cola y ExxonMobil.
Lo que sucedió es que una falla en el producto de base de datos Azure Cosmos DB de Microsoft, dejó la información de más de 3 mil 300 clientes de este servicio expuestos sin restricciones. La vulnerabilidad se introdujo en 2019 cuando Microsoft agregó una función de visualización de datos llamada Jupyter Notebook a Cosmos DB. La función se activó de forma predeterminada para todos en febrero de 2021.
"Esta es la peor vulnerabilidad de la nube que pueda imaginar", dijo Ami Luttwak, director de tecnología de Wiz, la empresa de seguridad que descubrió el problema. "Esta es la base de datos central de Azure y pudimos acceder a cualquier información de los clientes que quisiéramos".
En una publicación en su blog, Wiz detalló que la vulnerabilidad introducida a través de la herramienta Jupyter Notebook permitió a sus investigadores obtener acceso a las claves primarias que aseguraban las bases de datos de Cosmos DB para los clientes de Microsoft. Con dichas claves, Wiz tenía acceso completo de lectura, escritura y eliminación a los datos de varios miles de clientes de Microsoft Azure.
Hay que decir que Microsoft pagó a Wiz 40 mil dólares por el descubrimiento.
¿Sin víctimas?
A pesar de la gravedad y el riesgo presentado, Microsoft no ha tenido ninguna evidencia de que la vulnerabilidad haya conducido a algún acceso ilícito a los datos.
"No hay pruebas de que esta técnica sea explotada por actores maliciosos", dijo Microsoft a Bloomberg en un comunicado enviado por correo electrónico. "No tenemos conocimiento de que se haya accedido a ningún dato de cliente debido a esta vulnerabilidad".
Asimismo, de acuerdo con Wiz, se descubrió el problema hace solo dos semanas y, en cuanto tuvo conocimiento de ello, Microsoft desactivó la vulnerabilidad dentro de las 48 horas posteriores a la notificación.
Sin embargo, el problema aún no está completamente resuelto debido a que Microsoft no puede cambiar las claves de acceso principales de sus clientes, razón por la cual la empresa envió un correo electrónico a los clientes de Cosmos DB para que manualmente modificaran sus contraseñas y así mitigar la exposición.
Desafortunadamente, Microsoft se ha visto envuelto en varios problemas de seguridad serios. Los piratas informáticos de SolarWinds robaron parte de su código fuente a fines de diciembre, sus servidores de correo electrónico Exchange fueron violados e implicados en ataques de ransomware en marzo, y una falla reciente en la impresora permitió a los atacantes tomar el control de computadoras con privilegios de nivel de sistema. Sin embargo, esta semana la compañía anunció una importante inversión en ciberseguridad que podría ayudar a evitar estos fallos.