Microsoft hôm thứ Ba cho biết họ đã giải quyết lỗ hổng bỏ qua xác thực trong Máy tính xách tay jupyter dành cho Cơ sở dữ liệu Azure Cosmos cho phép truy cập đọc và ghi đầy đủ.
Gã khổng lồ công nghệ cho biết vấn đề được đưa ra vào ngày 12 tháng 8 năm 2022 và được khắc phục trên toàn thế giới vào ngày 6 tháng 10 năm 2022, hai ngày sau khi tiết lộ có trách nhiệm từ Orca Security, nơi được mệnh danh là lỗ hổng CosMiss.
“Nói tóm lại, nếu kẻ tấn công có kiến thức về ‘forwardingId' của Notebook, là UUID của Notebook Workspace, họ sẽ có đầy đủ quyền trên Notebook mà không cần phải xác thực, bao gồm quyền đọc và ghi và khả năng sửa đổi các nhà nghiên cứu Lidor Ben Shitrit và Roee Sagi nói.
Sửa đổi vùng chứa này cuối cùng có thể mở đường cho việc thực thi mã từ xa trong vùng chứa Notebook bằng cách ghi đè tệp Python được liên kết với Cosmos DB Explorer để tạo ra một trình bao đảo ngược.
Tuy nhiên, việc khai thác thành công lỗ hổng này yêu cầu đối thủ phải sở hữu mã chuyển tiếp 128 bit duy nhất và nó được đưa vào sử dụng trong khoảng thời gian một giờ, sau đó Notebook tạm thời sẽ tự động bị xóa.
Redmond cho biết: “Lỗ hổng, ngay cả khi có kiến thức về forwardingId, không cung cấp khả năng thực thi sổ ghi chép, tự động lưu sổ ghi chép trong kho lưu trữ GitHub được kết nối (tùy chọn) của nạn nhân hoặc quyền truy cập vào dữ liệu trong tài khoản Azure Cosmos DB”.
Microsoft đã lưu ý trong lời khuyên của riêng mình rằng họ không xác định được bằng chứng nào về hoạt động độc hại, và không yêu cầu khách hàng thực hiện hành động nào. Nó cũng mô tả vấn đề là “khó khai thác” do tính ngẫu nhiên của forwadingID 128 bit và tuổi thọ hạn chế của nó.
“Những khách hàng không sử dụng Máy tính xách tay Jupyter (99,8% khách hàng sử dụng Máy tính xách tay Azure Cosmos KHÔNG sử dụng Máy tính xách tay Jupyter) không dễ bị lỗ hổng này”, nó cho biết thêm.
