Azure comunica ai clienti un nuovo bug che avrebbe permesso la violazione dei dati.

Microsoft ha avvisato alcuni utenti del cloud computing di Azure che una vulnerabilità scoperta da esperti di sicurezza, potrebbe aver consentito agli hacker di accedere ai propri dati.

In un post sul blog del suo team di risposta alla sicurezza, Microsoft ha dichiarato di aver corretto il problema identificato da Palo Alto Networks e di non avere rilevato alcun segno che i malintenzionati avessero sfruttato tale tecnica. Ha inoltre affermato che ad alcuni utenti è stato chiesto di modificare le proprie password di accesso come misura precauzionale.

Il post sul blog era in risposta a una richiesta di Reuters in merito alla tecnica scoperta da Palo Alto. Microsoft ha rifiutato di rispondere a qualsiasi richiesta, incluso se fosse stato assicurato o meno che non fosse stato effettuato alcun accesso ai dati.

Il ricercatore di Palo Alto Ariel Zelivansky ha dichiarato a Reuters in una precedente intervista che il suo team aveva violato la piattaforma ampiamente utilizzata di Azure per i cosiddetti container, che archiviano le applicazioni per gli utenti.

Secondo lui, i contenitori di Azure utilizzavano codice che non era stato aggiornato per affrontare una vulnerabilità nota. Di conseguenza, il team di Palo Alto è stato finalmente in grado di ottenere i giusti privilegi di un gruppo di container appartenenti ad altri utenti.

Ian Coldwater, un esperto di sicurezza dei container di lunga data che ha valutato il lavoro di Palo Alto su richiesta di Reuters, ha dichiarato:

“Questo è il primo attacco a un provider cloud che utilizza i container controllati da altri account”.

A luglio, Palo Alto ha segnalato il problema a Microsoft. Zelivansky ha aggiunto che il suo team ha impiegato diversi mesi per completare il progetto e ha convenuto che è improbabile che gli hacker malintenzionati applichino un approccio simile.

Tuttavia, questo è il secondo problema significativo scoperto nell’infrastruttura Azure di Microsoft in meno di un mese. Gli specialisti della sicurezza di Wiz hanno rivelato una vulnerabilità nei database CosmosDB alla fine di agosto che avrebbe consentito ad un utente di modificare i dati di un altro utente.

Microsoft ha scritto: “Per maggiore cautela, sono state inviate notifiche ai clienti potenzialmente interessati dalle attività del ricercatore”.

Secondo Coldwater, il problema derivava da una mancata distribuzione delle correzioni in tempo, qualcosa che Microsoft ha spesso criticato ai suoi clienti. Ha affermato che alcuni strumenti di sicurezza del cloud avrebbero identificato attacchi dannosi simili a quello previsto dalla società di sicurezza e che i registri indicherebbero anche prove di tale attività.

La ricerca ha sottolineato che la sicurezza è una responsabilità collettiva tra fornitori di servizi cloud e clienti. Le architetture cloud, secondo Zelivansky, sono in genere sicure, Microsoft e altri fornitori di servizi cloud possono apportare miglioramenti da soli piuttosto che affidarsi ai clienti per farlo.

Ha inoltre aggiunto che gli attacchi cloud da parte di oppositori ben finanziati come i governi sovrani sono una preoccupazione legittima.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks