ITSEC News · @itsecbot
856 followers · 32557 posts · Server schleuss.online
Episode 225: Unpacking the Azure CHAOS DB Flaw with Nir Ohrfeld of Wiz - We’re joined by Nir Ohfeld of Wiz. Nir helped discover the recent CHAOS DB flaw in... https://feeds.feedblitz.com/~/665103670/0/thesecurityledger~Episode-Unpacking-the-Azure-CHAOS-DB-Flaw-with-Nir-Ohrfeld-of-Wiz/ #vulnerabilityresearch #wiztechnologies #cloudcomputing #microsoftazure #cybersecurity #technologies #companies #microsoft #spotlight #cosmosdb #podcasts #chaosdb #azure #cloud #wiz
#wiz #cloud #azure #chaosdb #podcasts #cosmosdb #spotlight #microsoft #companies #technologies #cybersecurity #microsoftazure #cloudcomputing #wiztechnologies #vulnerabilityresearch
jogi · @jogi
77 followers · 785 posts · Server digitalcourage.social@heise_security
"Den Angriffsvektor eröffnete eine von Microsoft im Jahr 2019 freigegebene Funktion Jupyter Notebook, mit der Kunden ihre Daten aus der CosmosDB visualisieren und benutzerdefinierte Ansichten erstellen können. Im Februar 2021 aktivierte Microsoft diese Funktion automatisch für alle CosmosDBs"
Das ist der Teil an der Cloud, der mir schlaflose Nächte bereitet, denn ICH möchte sagen ob ich was freigeben möchte. Wenn ich als Nutrzer:in das Jupyter-Feature gar nicht nutzen möchte, werde ich trotzdem in den Bann des Angriffsvektors gezogen...
"Eine Reihe von Fehlkonfigurationen in der Notebook-Funktion [hier ist das Problem, Jogi] ermöglichte den Sicherheitsforschern eine Privilegienerweiterung auf dem Notebook-Container. "
Also, wie immer: Nicht ein Problem, sondern die Kombination aus mindestens 2-3.