Een kwetsbaarheid in Microsoft Azure Cosmos DB stelde niet-gemachtigde cybercriminelen in staat om code op afstand uit te voeren, ook wel bekend als remote code execution (RCE).

Microsoft Azure Cosmos DB is een populaire noSQL database onder grootbedrijven in de retail en e-commerce. Organisaties gebruiken de database voor dataverwerking en opslag. Een integratie van Jupyter Notebook maakt het mogelijk om bewerkingen uit te voeren, waaronder data cleaning en data transformation.

Onderzoekers van Orca Security ontdekten onlangs een kwetsbaarheid in de Jupyter Notebook-integratie van Azure Cosmos DB. De kwetsbaarheid maakte het mogelijk om zonder machtiging toegang te krijgen tot Jupyter Notebook, code te injecteren en code te vervangen. Een riskant probleem, want Jupyter Notebook wordt regelmatig gebruikt voor de verwerking van privacygevoelige data, waaronder inlog- en klantengegevens.

Er is geen bewijs dat de kwetsbaarheid in de praktijk door cybercriminelen is misbruikt. Na de vondst werd Microsoft door Orca Security geïnformeerd over het probleem. Twee dagen later voerde de techgigant een automatische patch door voor alle gebruikers van Azure Cosmos DB.

Onder de motorkap

De kwetsbaarheid is een ontwerpfout. Elke Jupyter Notebook-omgeving in Azure Cosmos DB heeft een uniek identificatienummer, ook wel bekend als universally unique identifier (UUID). Orca Security ontdekte dat de UUID van een notebook een niet-gemachtigde gebruiker in staat stelt om gemachtigde acties uit te voeren, waaronder het injecteren en vervangen van code.

Azure Cosmos DB trof geen tot weinig maatregelen om de UUID’s van Jupyter Notebook te beveiligen. Een gemachtigde gebruiker kon de UUID eenvoudig ophalen door in te loggen.

Normaliter heeft een gebruiker geen reden om de UUID op te halen, laat staan te delen. Cybercriminelen kunnen daarentegen redenen verzinnen. In theorie kan een hacker zich voordoen als supportmedewerker, de UUID bij een gebruiker opvragen en vervolgens op Jupyter Notebook inloggen.

Sinds de patch bieden UUID’s geen toegang meer voor niet-gemachtigde gebruikers. Inmiddels heeft elke gebruikers een authenticatietoken nodig om gemachtigd in te loggen.

Microsoft patcht sneller dan verwacht

Twee dagen na de melding van Orca Security loste Microsoft het probleem op. De onderzoekers werden positief verrast. Eerder dit jaar vond Orca Security een kritieke kwetsbaarheid in Azure Synapse, waarna Microsoft het incident 89 dagen lang onder de tafel schoof. Als gevolg stuitte het patchbeleid van de techgigant op hevige kritiek.

Tip: ‘Microsoft verzwijgt kritieke kwetsbaarheden’