Microsoft, şirket içi dosyaların ve kimlik bilgilerinin açık internete çıkmasına neden olan bir güvenlik açığını çözdü.
Güvenlik araştırmacıları Can Yoleri, Murat Özfidan ve Egemen Koçhisarlı, kuruluşların güvenlik zayıflıklarını bulmasına yardımcı olan siber güvenlik şirketi SOCRadar ile birlikte, Microsoft'un Azure bulut hizmetinde barındırılan ve Microsoft'un Bing arama motoruyla ilgili dahili bilgileri depolayan açık ve genel bir depolama sunucusu keşfetti.
Azure depolama sunucusu, Microsoft çalışanlarının diğer dahili veritabanlarına ve sistemlere erişmek için kullandığı şifreleri, anahtarları ve kimlik bilgilerini içeren kodu, komut dosyalarını ve yapılandırma dosyalarını barındırıyordu.
Ancak depolama sunucusunun kendisi bir parolayla korunmuyordu ve internetteki herkes tarafından erişilebiliyordu.
Yoleri, TechCrunch'a, açığa çıkan verilerin potansiyel olarak kötü niyetli aktörlerin Microsoft'un dahili dosyalarını sakladığı diğer yerleri belirlemesine veya bunlara erişmesine yardımcı olabileceğini söyledi. Yoleri, bu depolama konumlarının belirlenmesinin “daha önemli veri sızıntılarına yol açabileceğini ve muhtemelen kullanılan hizmetlerin tehlikeye atılabileceğini” söyledi.
Araştırmacılar, 6 Şubat'ta Microsoft'a güvenlik açığını bildirdi ve Microsoft, 5 Mart'ta sızıntı dosyalarının güvenliğini sağladı.
Bulut sunucusunun ne kadar süre boyunca internete açık olduğu veya içindeki açığa çıkan verileri SOCRadar dışında birinin keşfedip keşfetmediği bilinmiyor. E-postayla ulaşılan Microsoft sözcüsü, yayınlandığı tarihte herhangi bir yorumda bulunmadı. Microsoft, açığa çıkan dahili kimlik bilgilerinden herhangi birinin sıfırlanıp sıfırlanmadığını veya değiştirilip değiştirilmediğini söylemedi.
Bu, Microsoft'un son yıllarda yaşanan bir dizi bulut güvenliği olayının ardından müşterilerinin güvenini yeniden inşa etmeye çalıştığı bir dönemde, son güvenlik gafıdır. Geçen yıl benzer bir güvenlik açığında araştırmacılar şunu buldu: Microsoft çalışanları kendi kurumsal ağ giriş bilgilerini ifşa ediyordu GitHub'da yayınlanan kodda.
Microsoft da geçen yıl şirketin bilmediğini itiraf etmesinden sonra eleştirilere hedef olmuştu Çin destekli bilgisayar korsanları dahili bir e-posta imzalama anahtarını nasıl çaldı? Bu, bilgisayar korsanlarının üst düzey ABD hükümet yetkililerinin Microsoft tarafından barındırılan gelen kutularına geniş erişim sağlamasına olanak tanıdı. E-posta ihlalini araştırmakla görevli bağımsız bir siber uzmanlar kurulu, geçen hafta yayınlanan raporlarında, bilgisayar korsanlarının “Microsoft'taki bir dizi güvenlik hatası” nedeniyle başarıya ulaştığını yazdı.
Mart ayında Microsoft şunu söyledi: devam eden bir siber saldırıya karşı koymaya devam ediyor Bu, Rus devlet destekli bilgisayar korsanlarının şirketin kaynak kodunun bazı bölümlerini ve Microsoft şirket yöneticilerinden dahili e-postaları çalmasına olanak sağladı.
Kaynak bağlantısı