云数据安全公司Wiz报告了一起事件,微软Azure的人工智能研究部门由于SAS链接配置失误,导致38TB私人数据暴露。事件强调了云存储服务的安全风险,尤其是SAS令牌的管理和监控问题。微软确认了漏洞但表示没有客户数据泄露。
共享访问签名(SAS)链接暴露了一个存储桶,其中包含38TB的私人数据,包括密码、Teams消息以及两名微软人工智能研究员工工作站的备份。
云数据安全公司Wiz就该事件发布了一份咨询报告,称该事件源于使用微软Azure的一项名为共享访问签名(SAS)令牌的功能,该功能允许用户通过链接访问其他私人数据存储库。
具体的风险存储库属于微软的人工智能研究部门,该部门在其公共GitHub存储库中指导用户通过SAS链接从Azure存储桶下载开源图像和代码。然而,链接配置错误,允许访问整个私有存储实例,使敏感文件和数据公开。
云数据安全公司Wiz的首席技术长兼联合创始人阿米•卢特瓦克(Ami Luttwak)说:“这一事件凸显了在使用SAS链路时出现安全失误的可能性。人工智能研究人员只是想共享一个数据库,这很好,但我怎么知道我的用户是否错误地共享了我们的整个存储账户。他们甚至授予了编写权限,而不仅仅是读权限,所以这甚至可能导致远程执行。”
在过去的五年中,主要云提供商提供的存储服务已经成为研究人员和攻击者的重要目标。2020年,由于配置错误的Amazon Web Services S3存储桶,与金融应用程序相关的50万份文档被曝光。
2017年,两个AWS S3存储桶暴露了数千名美国退伍军人和数百万时代华纳有线电视用户的敏感数据。微软Azure也未能幸免,一家安全公司去年发现,由于云存储端点配置错误,潜在客户的数据可能遭到泄露。
在最近的事件中,微软证实了Wiz咨询的细节,并指出该公司通过协调漏洞披露过程与微软联系。
微软安全响应中心(MSRC)在一份报告中表示:“这个存储帐户中暴露的数据包括两名前雇员的工作站配置文件的备份,以及这两名雇员与同事之间的微软团队内部消息。没有客户数据被泄露,也没有其他内部服务因为这个问题而面临风险。客户不需要对这个问题采取任何行动。”
Azure的SAS特性允许用户授予对其存储帐户中的特定文件和资源的特定访问权限。用户可以细粒度地控制可以访问的资源、链接允许的权限以及SAS令牌的有效期。有三种不同类型的共享访问签名,包括用户委托、服务和帐户SAS令牌。
然而,Wiz的Luttwak说:“允许访问资源的员工不容易受到监控。在Azure中没有办法监控哪些权限被授予,因为Azure不知道创建的所有令牌。这意味着安全团队实际上没有办法监控或对这些令牌进行任何治理。这很可怕。”
Wiz并不是唯一一家警告Azure链接共享机制危险的公司。Jumpsec Labs的攻击性安全主管Tom Ellson在去年发布的一份咨询报告中表示,安全评估经常会发现不安全的Azure存储帐户,即使某个特定客户的Amazon S3存储桶没有安全问题。
他说:“Azure存储帐户相当于Amazon S3存储桶,并且容易受到许多相同的挑战。也就是说,与其他云服务一样,它们通常是由没有安全知识的团队部署的,无法有效配置它们,而且默认部署通常缺乏对环境的必要控制,除非IT团队明确启用它们。”
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
