Publicidade

Autoridades dos EUA pedem que usuários do Azure Cosmos resetem suas senhas

Por| Editado por Claudio Yuge | 30 de Agosto de 2021 às 18h20

Link copiado!

Divulgação/Microsoft
Divulgação/Microsoft

Autoridades do governo dos Estados Unidos estão recomendando a todos os usuários do sistema Azure Cosmos DB, da Microsoft, para que reiniciem suas senhas. O alerta da Agência de Cibersegurança e Infraestrutura (CISA, na sigla em inglês) está relacionado a uma falha de segurança recém-descoberta, que poderia permitir a terceiros assumirem o comando de bancos de dados a partir do sistema Jupyter Notebook, que une diferentes linguagens de programação e auxilia na compilação de códigos.

A brecha foi descoberta pela Wiz, empresa especializada em segurança de infraestruturas, e notificada primeiro à Microsoft. Caso explorada, a vulnerabilidade permitia o acesso a chaves de acesso e tokens secretos, abrindo as portas de servidores para terceiros maliciosos, que poderiam baixar os dados ou realizar alterações como se fossem utilizadores legítimos.

Ao ser notificada, a empresa de Redmond desativou a integração entre o Azure Cosmos e o Jupyter Notebook, além de iniciar o envio de mensagens para os clientes, pedindo que eles gerassem novas chaves de segurança. É esse, também, o alerta da CISA, mas ele se aplica a todos os usuários do sistema da Microsoft, indicando que o melhor caminho para restabelecer a segurança de seus sistemas é alterar senhas e criar novos certificados, invalidando os que eram usados anteriormente.

Continua após a publicidade

De acordo com a Microsoft, uma investigação interna demonstrou que nenhum dado foi acessado de maneira indevida, com a empresa corrigindo a abertura e notificando todos os eventuais afetados. A Wiz, por outro lado, coloca dúvidas quanto a essa afirmação, indicando que pode ser difícil, senão impossível, para a companhia afirmar, com certeza, que a brecha não foi utilizada de maneira indevida, o que corrobora o alerta feito pela CISA para que todos os usuários gerem novas credenciais de acesso e se desfaçam das antigas.

Por isso mesmo, os detalhes sobre a vulnerabilidade não foram revelados, mas o comunicado da agência americana fala em um erro de configuração que já foi corrigido. Além disso, o aviso também indica o próprio guia de boas práticas do Azure Cosmos DB, com outras indicações do que pode ser feito para garantir a proteção dos bancos de dados e impedir acessos indevidos.

Fonte: Reuters, CISA