MICROSOFT CORRIGE UNA FALLA CRÍTICA DE AZURE COSMOS DB

04/11/2022

BOLETÍN NRO 2022-640

Recientemente, analistas de seguridad han encontrado una vulnerabilidad crítica, que afecta a Azure Cosmos DB que permitía el acceso de lectura y escritura a usuarios no autenticados.

 

Servicios Afectados

• Sistemas operativos Windows

 

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA   El problema denominado "CosMiss", que se encuentra en los Jupyter Notebooks integrados de Azure Cosmos DB que se integran en el portal de Azure y las cuentas de Azure Cosmos DB para consultar, analizar, visualizar datos y resultados de NoSQL más fácilmente. Azure Cosmos DB es la base de datos NoSQL completamente administrada de Microsoft que cuenta con un amplio soporte de tipo API para aplicaciones de todos los tamaños. Jupyter Notebooks es una plataforma interactiva basada en web que permite a los usuarios acceder a los datos de Cosmos DB. Cuando un usuario crea un nuevo Notebook en Azure Cosmos DB, se crea un nuevo punto de conexión junto con una nueva ID de sesión/notebook única (UUIDv4). Los investigadores de seguridad revisaron el tráfico de la solicitud desde un Notebook recién generado al servidor y notaron la existencia de un encabezado de autorización. Cuando eliminaron este encabezado y enviaron una solicitud para enumerar todos los portátiles en ese servidor, los analistas notaron que el servidor respondía normalmente, por lo que no se requería el encabezado de autorización. Al probar otros tipos de solicitudes con el método PUT válidas que contenían datos en formato JSON, los analistas descubrieron que podían modificar el código en Notebook, sobrescribir datos, inyectar nuevos fragmentos o eliminarlos. Cuando se carga el Explorador de datos, el código de Python se ejecuta automáticamente, dando al atacante un shell inverso en el cliente. Microsoft ha publicado un informe sobre esta solución, destacando que solo un porcentaje muy pequeño de usuarios se vio prácticamente afectado por el problema. Los clientes que no usan portátiles Jupyter (el 99,8 % de los clientes de Azure Cosmos DB NO usan portátiles Jupyter) no eran susceptibles a esta vulnerabilidad, dijo Microsoft.

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Azure Cosmos DB es una base de datos distribuida sin servidor totalmente administrada, por esta razón los usuarios no necesitan realizar ninguna acción para mitigar el riesgo.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Microsoft fixes critical RCE flaw affecting Azure Cosmos DB
• Fuente 2: Microsoft Mitigates Vulnerability in Jupyter Notebooks for Azure Cosmos DB
• Fuente 3: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​