Microsoft ha allertato migliaia di clienti di una possibile violazione dei suoi sistemi cloud perché eventuali malintenzionati potrebbero leggere, modificare e perfino cancellare i loro principali database.

Secondo l’agenzia di stampa Reuters, a fare la scoperta sarebbe stato un ricercatore di sicurezza, in passato a capo del settore Cloud di Microsoft, Ami Luttwak.

La vulnerabilità riguarderebbe un prodotto di punta dell’azienda di Redmond, il database Cosmo della piattaforma Azure. Luttwak, che oggi è Cto dell’azienda di cybersecurity Wiz, avrebbe scoperto di poter accedere ai database di migliaia di clienti di Microsoft, inclusi quelli in testa alla classifica Fortune 500, cioè aziende come Coca Cola ed Exxon Mobil.

Per questo motivo le aziende interessate sono state informate della necessità di cambiare le modalità d’accesso alla piattaforma e Microsoft avrebbe riconosciuto al team di Wiz un premio di 40mila dollari per avere individuato e segnalato la falla: “Abbiamo subito risolto il problema per assicurare la protezione dei nostri clienti. Ringraziamo i ricercatori di sicurezza per avere lavorato insieme a noi nella cornice di una rivelazione coordinata della vulnerabilità”, ha detto Microsoft a Reuters.

Nella mail ai clienti, Microsoft sostiene di non aver alcuna evidenza che la falla sia stata sfruttata, ma chi l’ha scoperta è stato meno diplomatico e ha detto che “è la peggiore falla che si possa trovare in un sistema cloud. Si tratta del database centrale di Azure, e noi siamo stati in grado di accedere a qualsiasi database clienti che volevamo”.

Il team di Luttwak avrebbe individuato il 9 agosto il problema, soprannominato ChaosDB, notificandolo il giorno 12. Il problema riguarderebbe uno strumento di visualizzazione chiamato Jupyter Notebook, disponibile da anni, ma abilitato di default dentro a Cosmo solo dal febbraio scorso.

Interpellato da Italian Tech, Carlo Mauceli, Cto e Ciso di Microsoft Italia, ha però precisato che “non parliamo di cyberattacchi, ma di una vulnerabilità software ed è positivo che se ne parli. Microsoft da sempre offre trasparenza attraverso partner come Wiz, che lavora con noi. Sappiamo che la sicurezza al 100% non esiste, ma che è un processo dinamico e lo stiamo capendo tutti, con la volontà comune di scovare le minacce attraverso una positiva collaborazione tra aziende e governi. In questo caso non ritengo che il rischio sia elevato, perché la vulnerabilità è già stata riparata e l’azienda sta procedendo ad avvisare tutti i potenziali interessati”.

Wiz però in un post piuttosto duro, intitolato ChaosDB, come abbiamo violato migliaia di database dei clienti di Azure, ha ribadito che questa serie di difetti in una funzionalità di Cosmos DB ha creato una scappatoia che consente a chiunque di scaricare, eliminare o manipolare un’enorme quantità di database commerciali, nonché l’accesso in lettura/scrittura all’architettura sottostante di Cosmos DB. Non si tratta di clienti da poco: compagnie come Coca Cola, Exxon Mobil e Citrix usano Cosmos DB per gestire enormi quantità di dati in tempo reale, alimentando funzioni aziendali critiche come l’elaborazione di milioni di transazioni di e-commerce.

I guai per Microsoft non finiscono mai

C’è anche da dire che il fatto che giunge oggi all’attenzione del pubblico arriva dopo mesi di brutte notizie per Microsoft, violata dagli stessi criminali russi che hanno infiltrato la supply chain di SolarWinds, e da altre incursioni che hanno colpito i server Exchange della posta elettronica. L’ultima ha obbligato il governo americano a diramare un’allerta ai clienti Microsoft perché installassero le patch per impedire che i gruppi ransomware che stanno spopolando in questi mesi la potessero sfruttare.

Il tema è enorme, visto che sia Microsoft sia altri hanno spinto molte aziende ad abbandonare le loro infrastrutture e ad affidarsi al cloud per avere maggiore sicurezza. Anche per questo gli attacchi al cloud possono essere devastanti, perché secondo Luttwak sia le vulnerabilità sia gli attacchi non vengono sempre denunciati.

Per Roberto Mignemi, Ceo della romana Cybertech, “le vulnerabilità scoperte su questi database non sono nuove dal punto di vista degli attaccanti: in passato altri database NoSQL hanno sofferto di debolezze critiche. Quello che stupisce è che anche colossi come Microsoft non sono immuni da questo genere di falle, a riprova del fatto che non bisogna dare mai nulla per scontato: la sicurezza non può essere garantita solo da un prodotto consolidato, ma applicando un insieme di contromisure su più livelli, che possano mitigare eventuali attacchi”.

Secondo uno studio del Ponemon Institute condotto su 600 professionisti IT e di cybersecurity negli Stati Uniti per Proofpoint, intitolato The Cost of Cloud Compromise and Shadow IT, la compromissione degli account cloud costa alle aziende oltre 6 milioni di dollari all’anno. Per il 68% degli intervistati il takeover di account cloud rappresenta un rischio significativo per la sicurezza delle loro organizzazioni, un rischio fortemente aumentato negli ultimi 12 mesi.

Microsoft, per vent’anni tra le prime 5 aziende al mondo per capitalizzazione, sviluppa moltissimi prodotti ed è sempre market leader nell’area dei sistemi operativi, con l’85% del mercato e investe moltissimo nel cloud, che oggi è l’area di maggiore sviluppo e competizione per erogare servizi disponibili a chiunque. Di recente, durante l’incontro con il presidente Biden e i leader di Google e Amazon, il rappresentante dell’azienda ha promesso di investire miliardi di dollari nella cybersecurity.

