Microsoft, CISA fornecem orientação do Azure Cosmos DB

Perto do final de agosto, um A vulnerabilidade do Azure foi exposta – um que pode ter existido por meses, senão anos inteiros. A Microsoft e a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) resolveram o problema (por meio de Reuters)

Em um Centro de Resposta de Segurança da Microsoft postagem do blog, a empresa não apenas descreveu a situação, mas também deu conselhos sobre como garantir a segurança no futuro:

Esta vulnerabilidade afeta apenas um subconjunto de clientes que tinham o recurso Jupyter Notebook habilitado. Notificações foram enviadas a todos os clientes que podem ser potencialmente afetados devido à atividade do pesquisador, avisando que eles regeneram sua chave primária de leitura e gravação. Outras chaves, incluindo a chave secundária de leitura e gravação, a chave primária somente leitura e a chave secundária somente leitura não eram vulneráveis.

CISA disse o mesmo, avisando que os clientes regeneram as chaves de certificado para permanecerem protegidos. CISA também recomendou dar uma olhada em um Documento de segurança do Azure Cosmos DB da Microsoft.

A Microsoft afirmou que nenhum dado foi comprometido como resultado da vulnerabilidade mencionada, mas ainda enviou notificações às partes potencialmente afetadas. A empresa também pagou US $ 40.000 ao grupo que descobriu a vulnerabilidade.

Se você quiser saber quanto isso vale na escala que a Microsoft usa para pagar coletores de vulnerabilidade, verifique quanto a empresa tem pago a caçadores de insetos desde julho de 2020. Você notará que o número, $ 40.000, é muito menor do que o máximo que se pode obter para descobrir uma vulnerabilidade com Windows 11, embora mesmo o número máximo para o Windows 11 possa não ser tão grande quanto você espera.