Governo dos EUA ordena atualização de segurança por falha do Azure, da MS

A vulnerabilidade do Banco de Dados Cosmos DB segue dando dor de cabeça à Microsoft. A Agência de Segurança Cibernética e da Infraestrutura do Departamento de Segurança Interna dos Estados Unidos ordenou aos usuários governamentais: “Incentivamos fortemente os clientes do Azure Cosmos DB a atualizar e regenerar sua chave de certificado o quanto antes”. Especialistas sustentam que todos – e não apenas os 3300 clientes notificados- devem alterar suas chaves digitais.

Os pesquisadores da empresa de segurança em nuvem Wiz, criada por ex-funcionários da área de segurança de cloud da própria Microsoft, descobriram uma falha no acesso às chaves digitais primárias do sistema de banco de dados Cosmos DB. Essa vulnerabilidade abre brechas para cibercriminosos roubarem, modificarem ou excluírem milhões de registros.

Alertada pelo Wiz, a Microsoft corrigiu rapidamente o bug de configuração e notificou usuários. A empresa anunciou ainda que não foram encontradas evidências de que os invasores exploraram a falha para obter acesso aos dados do cliente.

“Nossa investigação não mostra nenhum acesso não autorizado além da atividade do pesquisador”, escreveu a Microsoft. “As notificações foram enviadas a todos os clientes que poderiam ser potencialmente afetados devido à atividade de pesquisa”, sustentou a companhia.