Ein gewisses Geheimnis umgibt die Herkunft eines neu entdeckten Zwischenspeichers mit vertraulichen Quellcode-Daten, der offen und zugänglich in einer fehlkonfigurierten Microsoft Azure Blob-Cloud-Speicher-Konto.
Die Daten scheinen aus einer Reihe von Pitches zu stammen, die an Microsoft Dynamics von verschiedenen Unternehmen, und viele von ihnen enthalten Software-Quellcode für Produkte, die später veröffentlicht wurden. Der vollständige Datensatz umfasst 63 GB an Daten, die in fast 4.000 separaten Dateien enthalten sind, und enthält neben proprietärem Code auch Business Pitch Decks, Produktbeschreibungen und hart kodierte Passwörter.
Es wurde gefunden von vpnMentor Forscher unter der Leitung von Noam Rotem im Januar 2021, aber nach mehreren Versuchen der verantwortlichen Offenlegung konnte das Team nur die sehr vorsichtige Vermutung anstellen, dass die Enthüllung aus dem Hause Microsoft selbst stammt.
“Jede dieser Firmen – einschließlich einiger bekannter Unternehmen – wurde ausgesetzt, wobei hochsensible interne Daten über ihre Operationen und Produktlinien öffentlich zugänglich waren”, sagte Rotem in einem heute veröffentlichten Enthüllungsblog.
“Nach einer ersten Untersuchung haben wir zwei potenzielle Eigentümer identifiziert, zunächst die kanadische Beratungsfirma Adoxio. Da KPMG nun Eigentümer von Adoxio ist, haben wir KPMG kontaktiert, um sie über den Verstoß zu informieren. KPMG antwortete und bestätigte, dass sie die Daten nicht besaßen, sondern dass sie Microsoft gehörten.
“Wir vermuteten auch, dass Microsoft verantwortlich war. Also haben wir das Unternehmen mehrmals kontaktiert, um sicherzustellen, dass die Dateien sicher gemacht wurden und um zu bestätigen, dass die Daten ihnen gehören. Wir erhielten zwar nur automatisierte Antworten von der Firma, aber das Azure Blob-Konto wurde inzwischen gesichert.”
Rotem fügte hinzu: “Mehr als zwei Monate nach der ursprünglichen Entdeckung der Schwachstelle haben wir endlich eine Antwort von Microsoft erhalten. Allerdings scheint das Unternehmen die Offenlegung der Datenverletzung mit der Offenlegung eines Fehlers in seiner Software verwechselt zu haben. In seiner Antwort versäumte es Microsoft, die Datenpanne anzuerkennen oder die Verantwortung dafür zu übernehmen. Infolgedessen haben wir keine Möglichkeit zu überprüfen, ob die Datei zu Microsoft gehört.
Obwohl die Daten nun gesichert sind, ist die Datenexposition von Bedeutung, denn wenn ein böswilliger Akteur in den Besitz des Quellcodes gelangt, wäre es für ihn viel einfacher, Schwachstellen in einem Produkt oder einer Datenbank zu finden und diese zu manipulieren, um Zugang zu sensibleren Daten seiner Zielbenutzer zu erhalten – unter Umgehung der normalen Datensicherheitsprotokolle.
Sie könnten dann weitere Daten exfiltrieren oder sogar die Fernsteuerung der Systeme übernehmen, auf denen der Code läuft – was es ihnen ermöglichen würde, sich in ihrem Zielnetzwerk zu etablieren und weitere Angriffe, einschließlich Ransomware, durchzuführen.
Quellcodedaten könnten auch an Konkurrenten weitergegeben werden, wodurch Unternehmen, die den Code ursprünglich entwickelt haben, dem Risiko der Industriespionage ausgesetzt wären.
Rotem zufolge hätte der Besitzer des Azure-Blob-Kontos den Vorfall leicht vermeiden können, indem er seine Server gesichert, Zugriffsregeln implementiert und Systeme, die keine Authentifizierung erfordern, nicht für das Internet offen gelassen hätte. Wie bei anderen Cloud-Speicherprodukten, z. B. AWS S3, sind Azure-Blobs standardmäßig nicht öffentlich zugänglich, und Microsoft gibt ausführliche Empfehlungen und Anweisungen, wie dies zu tun ist.
