Was ist passiert?
Forscher von Wiz.io fanden Anfang August eine Schwachstelle in Cosmos DB, einem Datenbank-Service von Microsoft Azure. Den Forschern gelang der Zugang zu mehreren Tausend Accounts und Datenbanken. Betroffen waren auch Unternehmen aus den Fortune 500. Die Forscher tauften die Schwachstelle „ChaosDB“.
Datenbank-Lecks haben alarmierend zugenommen mit dem Wechsel vieler Unternehmen in die Cloud. Grund dafür waren oftmals Fehlkonfigurationen auf Kundenseite. Im Fall von ChaosDB war dies jedoch nicht der Fall. Auch Firmen, welche Ihre Umgebungen nach allen Best-Practices aufgesetzt hatten, waren von dieser Schwachstelle betroffen.
Die Schwachstelle erlaubte das Herunterladen, Löschen oder Manipulieren einer riesigen Sammlung von kommerziellen Datenbanken und den Zugriff auf die Architektur von Cosmsos DB.
2019 führte Microsoft Jupyter Notebook für die Cosmos DB ein. Dieser Service erlaubt es Nutzern, Daten auf einfache Art und Weise zu Visualisieren und war standardmässig aktiviert. Die Jupyter Notebooks laufen pro Region (z.B. us-east, uk-south) auf einem gemeinsam genutzten Cluster. Den Forschern gelang es dank einer Reihe von Fehlkonfigurationen, sich Administratorenrechte auf diesem lokalen Jupyter-Cluster zu verschaffen. Von dort aus konnten die Forscher alle sich in derselben Region befindenden Primärschlüssel für die Cosmos DB und andere sensitive Daten wie der Access Token des Notebooks einsehen.
Die Schlüssel erlauben es potenziellen Angreifern sich einen Langzeit-Zugriff zu Firmendaten zu verschaffen mit vollen Administratorrechten. Einzige Bedingung für den Angriff war, dass sich der Angreifer und das Opfer in derselben Region befinden müssen.
Die Sicherheitslücke wurde von Microsoft sehr ernst genommen. Innert 48 Stunden nach Erstkontakt mit Microsoft, wurden alle verwundbaren Notebooks deaktiviert. Jedoch besteht weiterhin die Gefahr, dass die Primärschlüssel abgegriffen wurden. Dies sind langlebige Schlüssel und können von Angreifern genutzt werden, um sensible Daten aus den Datenbanken zu stehlen. Microsoft hat über 30% der Cosmos DB Nutzer angeschrieben, dass sie die Primärschlüssel manuell rotieren sollten. Allerdings wird davon ausgegangen, dass weit mehr Kunden betroffen sein könnten.
Was ist zu tun?
Discovery: Welche Cosmos DB sind betroffen?
Es gibt eine undokumentierte Möglichkeit, um Cosmos DB Accounts mit dem aktivierten Jupyter Notebook Feature zu identifizieren, welche wie folgt funktioniert:
- Gehen Sie in Ihre Cosmos DB Resource Seite im Azure Portal
- Auf der linken Seite klicken Sie „Vorlage exportieren“
- Auf dem Vorlage-Reiter können Sie nach folgendem Block suchen: „type“: „Microsoft.DocumentDB/databaseAccounts/notebookWorkspaces“ .
- Falls Sie diesen Block gefunden haben, war Jupyter Notebook aktiviert und Sie sollten Ihre Primärschlüssel rotieren.
Quelle: wiz.io
Erneuerung der Cosmos DB Primärschlüssel
Das Ersetzen der Schlüssel kann möglicherweise operative Prozesse beeinflussen. Die Konsequenzen eines Schlüsselwechsels sollten deshalb vorab gründlich evaluiert werden bevor mit den Arbeiten begonnen wird. Ein Cosmos DB Account verfügt über zwei Schlüssel einen Primären und Sekundären. Die Sicherheitslücke betraf nur die Primärschlüssel, die Sekundärschlüssel sind nach wie vor geheim.
Beachten Sie, dass der alte Schlüssel nicht mehr verwendet werden kann, sobald die Schlüssel regeneriert werden. Falls Sie ihre Applikationen nicht einen anderen Schlüssel bereitstellen, kann das zu massiven Fehlfunktionen führen.
Ein Guide für die Neu-Erzeugung des Schlüsselmaterials kann hier abgerufen werden.
Limitieren Sie den Netzwerkzugriff
Das Reduzieren des Zugriffs auf die Cosmos DB über das Netzwerk ist ein wichtiger zusätzlicher Schritt, um die Cosmos DB abzusichern. Besonders für Datenbanken welche auf Grund von operationellen Bedenken ihre Primärschlüssel nicht rotieren können. Dazu können folgende Schritte unternommen werden:
- Firewall-Regeln, welche den Zugriff auf die Datenbanken nur für berechtigte Adressen erlauben. Auch hierfür gibt es einen Microsoft Guide.
- Nutzung eines virtuellen Netzwerks und Beschränkung des Zugriffs nur aus diesem virtuellen Netz. Microsoft stellt dazu ebenfalls einen Guide bereit.
Falls wir Sie bei der Untersuchung und Behebung dieser Sicherheitslücke unterstützen können melden Sie sich ungeniert über unser Kontakt Formular. Unsere Experten haben jahrelange Erfahrung mit dem Sichern von Azure Umgebungen und beraten Sie auch gerne in anderen Themen rund um die Sicherheit in der Cloud.