Azure: Tausende Kunden von ChaosDB-Schwachstelle in Azure Cosmos DB bedroht

[English]Heftiger Schlag für Nutzer der Microsoft Azure-Cloud, falls eine Cosmos DB involviert ist (das DB steht für Data Breach, hat nur noch keiner gemerkt). Es gab eine (inzwischen geschlossene) schwere Sicherheitslücke, die Angreifern die Übernahme der Datenbank ermöglichte. Microsoft hat wohl damit begonnen, die betroffenen Azure-Kunden zu informieren. Ergänzung: Microsoft hat jetzt Anweisungen für Kunden herausgegeben, um die Cosmos DB abzusichern.

Das Ganze wurde im August 2021 von Sicherheitsforschern des Anbieters Wiz entdeckt. Der nachfolgende Tweet spricht das Problem an – die bezeichnen Cosmos als Chaos DB. Im Wiz-Blog beschreiben Nir Ohfeld und Sagi Tzadik, wie trivial sie die Datenbank für viele Azure-Kunden übernehmen konnten.

Cosmos DB für Azure Kunden

Azure Cosmos DB wurde 2017 als proprietäre NonSQL-Datenbank von Microsoft für seine Azure-Kunden freigegeben. Es handelt sich um einen global verteilten Multi-Modell-Datenbankdienst "für die globale Verwaltung von großen Datenmengen". Cosmos DB ist schemaunabhängig und  horizontal skalierbar. Intern speichert Cosmos DB "Elemente" in "Containern", so die Wikipedia.

Wiz schreibt, dass Kunden wie Coca-Cola, Exxon-Mobil und Citrix Cosmos DB nutzen, um riesige Datenmengen aus der ganzen Welt nahezu in Echtzeit zu verwalten. Cosmos DB sei eine der einfachsten und flexibelsten Möglichkeiten für Entwickler, Daten zu speichern und unterstütze kritische Geschäftsfunktionen wie die Verarbeitung von Millionen von Transaktionen oder die Verwaltung von Kundenbestellungen auf E-Commerce-Websites, so die Wiz-Leute.

Masterkey der Datenbank exfiltiert

Das Sicherheitsforschungsteam von Wiz sucht ständig nach neuen Angriffsflächen in der Cloud. Mitte August 2021 entdeckten die Sicherheitsforscher eine bisher unbekannte Lücke im Datenbankdienst von Azure, Cosmos DB. Die Forscher waren in der Lage, über einen Master-Key uneingeschränkten Zugang zu den Konten und Datenbanken von mehreren tausend Microsoft Azure-Kunden zu erhalten, darunter viele Fortune-500-Unternehmen.

Im Jahr 2019 fügte Microsoft eine Funktion namens Jupyter Notebook zu Cosmos DB hinzu, die im Februar 2021 automatisch für alle Cosmos DBs aktiviert wurde. Mit der Funktion können Kunden ihre Daten visualisieren und benutzerdefinierte Ansichten erstellen. Eine Reihe von Fehlkonfigurationen in der Notebook-Funktion eröffnete den Sicherheitsforscher einen neuen Angriffsvektor, den diese ausnutzen konnten. Kurz gesagt, der Notebook-Container ermöglichte eine Privilegienerweiterung auf andere Kunden-Notebooks (die Sicherheitsforscher wollen in Kürze technische Details zur Eskalation bekannt geben).

(Quelle: Wiz)

Wie es ausschaut, gelang den Sicherheitsforscher von Wiz über diese Funktion sich Zugang zu den Primärschlüsseln der Cosmos DB zu verschaffen. Ein Angreifer könnte Zugang zu den Primärschlüsseln von Cosmos DB und anderen hochsensiblen Geheimnissen wie dem Zugriffstoken für den Notebook-Blob-Speicher erhalten. Diese Primärschlüssel ermöglichen den Zugriff auf alle Datenbanken, die mit diesem Schlüssel eingerichtet wurden. Das ist quasi der Administrator, der vollen Zugriff (lesen, schreiben, löschen) auf die Datenbank ermöglicht. Damit ist der Worst Case eingetreten, denn ein Angreifer, der diesen Schlüssel erbeutet, könnten weltweit viele Datenbanken von Azure Kunden auslesen, manipulieren oder löschen. Gegenüber Reuters sagte Ami Luttwak von Wiz:

Dies ist die schlimmste Cloud-Schwachstelle, die man sich vorstellen kann. […] Dies ist die zentrale Datenbank von Azure, und wir waren in der Lage, Zugang zu jeder Kundendatenbank zu erhalten, die wir wollten.

Die Sicherheitsforscher geben an, dass die Schwachstelle sich auf triviale Weise ausnutzen lasse, ohne dass ein vorheriger Zugriff auf die Zielumgebung erforderlich ist. Der Schwachstelle, die Tausende von Unternehmen, darunter zahlreiche Fortune-500-Unternehmen, betrifft, wurde der Name ChaosDB verpasst.

GAU für Microsoft

Die Sicherheitsforscher konnten, nachdem sie die Cosmos DB-Primärschlüssel erbeutet hatten, zeigen, dass ein Angreifer diese Schlüssel nutzen kann, um vollen Administrator-Zugriff auf alle Daten zu erhalten, die in den betroffenen Cosmos DB-Konten gespeichert sind. Entdeckt wurde die Schwachstelle am 9. August 2021, die Meldung erfolgte am 12. August 2021 an Microsoft.

48 Stunden nach der Meldung an Microsoft hatten dessen Sicherheitsleute die angreifbare Jupyter Notebook-Funktion bereits deaktiviert. Microsoft gibt an, dass betroffene Azure-Kunden über den Vorfall benachrichtigt wurden. Laut Microsoft gäbe es auch keinen Hinweis darauf, dass externe Stellen außerhalb des Forschers (Wiz) Zugriff auf den primären Schreib-Lese-Schlüssel hatten.

Die Sicherheitsforscher von Wiz erhielten eine Prämie von 40.000 US-Dollar für die Meldung der Sicherheitslücke. Sie geben an, dass die Schwachstelle seit Februar 2021 existierte. Die Empfehlung lautet, dass auch Kunden, die keine Benachrichtigung durch Microsoft erhielten, diesen Masterkey austauschen sollten. Denn es gäbe die Möglichkeit, dass unbefugte Dritte bereits Zugriff hatten oder Zugriff versuchen.

Das ist jetzt ein fetter Kratzer am hohen Loblied der Cloud-Sicherheit und fügt sich nahtlos an die Desaster wie den Hafnium-Exchange-Hack vom Frühjahr 2021 ein, weil Microsoft Schwachstellen nicht schnell genug mit Sicherheitsupdates versehen konnte. Fehler können zwar immer wieder passieren, aber in der Cloud betrifft das schnell Hundertausende oder Millionen Kunden. Was mich jetzt auch umtreibt: Was machen europäische Kunden, die Microsoft Azure mit der Cosmos DB verwendet haben? Theoretisch müssten jetzt Meldungen an die zuständigen Datenschutzbehörden gehen, dass eine potentielle Schwachstelle bestand, über die persönliche Daten von Personen abgeflossen sein könnten.

Ergänzung: Microsoft hat bereits zum 20. August 2021 Anweisungen für Kunden herausgegeben, um die Cosmos DB abzusichern. Die Kollegen von Bleeping Computer haben diesen Artikel zum Thema darüber verfasst.