Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Microsoft: una “gaffe” di sicurezza ha esposto 38TB di dati sensibili
I ricercatori di Wiz, compagnia di sicurezza per il cloud, hanno scoperto un repository GitHub della divisione Microsoft AI che permetteva di accedere a 38 TB di dati sensibili dei dipendenti.
La divisione di ricerca sull’IA aveva aggiornato il robust-models-transfer, un repository open-source di codice e modelli per il riconoscimento delle immagini. Il team aveva pubblicato un URL di Azure Storage dal quale scaricare modelli ImageNet, ma l’indirizzo garantiva anche l’accesso a un database di dati privati non solo della divisione, ma anche di altri dipendenti della compagnia.
Pixabay
I 38TB di dati contenevano i backup dei computer personali dei dipendenti, le loro password per i servizi Microsoft, chiavi private e più di 3000 messaggi Teams scambiati tra 359 collaboratori. L’URL non solo forniva l’accesso iniziale al database, ma anche i permessi per modificare i file.
Microsoft e i token SAS
Il problema è stato causato da una configurazione errata dei SAS (Shared Access Signature) token, URL firmati che definiscono l’accesso ai dati dello storage Azure. In fase di creazione di un token si possono definire il livello di accesso ai file (da read-only al controllo completo) e la data di scadenza dei permessi, creando anche URL senza scadenza.
Come se non bastasse, individuare questo tipo di errore non è semplice: i token vengono creati client-side usando la chiave dell’account e non su Azure, e il token stesso non fa parte degli oggetti Azure. L’evento di creazione di un token non viene registrato sulla piattaforma, quindi un amministratore non è in grado di monitorare la validità e l’uso del token.
Pixabay
Anche la fase di revoca è piuttosto complicata: è necessario ruotare la chiave dell’account che ha firmato il token, di fatto invalidando tutti gli altri token creati dallo stesso account.
L’URL condiviso nel repository doveva consentire l’accesso in lettura ai modelli, ma per un errore di configurazione garantiva invece il controllo totale su tutti i file e le cartelle e aveva come data di scadenza il 6 ottobre 2051.
Il team di Wiz ha notificato il problema a Microsoft il 22 giugno scorso e due giorni dopo la compagnia ha invalidato il token. Microsoft ha analizzato l’impatto dell’errore e ha specificato che le uniche informazioni esposte sul web sono state quelle di due ex dipendenti, mentre i dati di clienti e servizi sono rimasti al sicuro.
L’azienda ha ricordato ai propri clienti di prestare la massima attenzione durante la creazione dei token, generando SAS con permessi minimi e scadenza ridotta, preferibilmente di un’ora al massimo.
Condividi l'articolo
Earth Lusca torna all'attacco con una nuova backdoor
Il cybercrimine organizza competizioni per sviluppare nuovi metodi d'attacco
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
