微软Azure数据库服务Cosmos DB含有安全漏洞，将外泄客户的主要金钥与存取令牌

专门提供云端安全服务的资安业者Wiz周四（8/26）揭露，微软Azure的Cosmos DB非关联式数据库服务含有一系列的安全漏洞，将允许任何使用者下载、删除或操控用户的商业数据库，或是存取Cosmos DB的底层架构。被Wiz统称为ChaosDB的漏洞已存在两年之久，波及Fortune 500排行榜上的许多大型企业，诸如可口可乐、Exxon-Mobil与Citrix等。

根据Wiz的说明，微软是在2019年时于Cosmos DB新增了一项Jupyter Notebook功能，可让客户视觉化数据库并建立客制化的视觉检视画面，最初客户必须手动启用Jupyter Notebook，但该功能在今年2月成为Cosmos DB的预设值。

图片来源_Wiz

然而，Wiz团队却发现Jupyter Notebook含有一系列的错误配置，其容器含有一个权限扩张漏洞，得以进入其它客户的Jupyter Notebook，并取得该客户的主要金钥与Notebook存取令牌等机密资讯。在掌握了上述机密资讯之后，骇客就能长期存取受害Cosmos DB账号的所有资料，还具备完整的读、写与删除权限。

图片来源_Wiz

Wiz团队表示，在他们向微软通报之后，微软于48小时内就关闭了Jupyter Notebook功能，是他们所见过的反应最快的安全团队。此外，微软也在周四通知了逾30%的Cosmos DB客户，要求它们手动轮替存取金钥以降低风险。

微软只知会了在Wiz研究期间（约一周）受到波及的客户，然而，Wiz团队相信，过去曾启用Jupyter Notebook服务，或是今年2月之后才建立Cosmos DB账号的用户，都可能受到ChaosDB漏洞的波及，呼吁它们都应采取保护措施，轮替存取金钥。

根据路透社的报导，微软已坦承相关漏洞的存在，也将支付4万美元的抓漏奖金予Wiz。