Microsoft, şirket içi dosyaların ve kimlik bilgilerinin açık internete çıkmasına neden olan bir güvenlik açığını çözdü.
Güvenlik araştırmacıları Can Yoleri, Murat Özfidan ve Egemen Koçhisarlı, kuruluşların güvenlik zayıflıklarını bulmasına yardımcı olan siber güvenlik şirketi SOCRadar ile birlikte, Microsoft’un Azure bulut hizmetinde barındırılan ve Microsoft’un Bing arama motoruyla ilgili dahili bilgileri depolayan açık ve genel bir depolama sunucusu keşfetti.
Azure depolama sunucusu, Microsoft çalışanlarının diğer dahili veritabanlarına ve sistemlere erişmek için kullandığı şifreleri, anahtarları ve kimlik bilgilerini içeren kodu, komut dosyalarını ve yapılandırma dosyalarını barındırıyordu.
Ancak depolama sunucusunun kendisi bir parolayla korunmuyordu ve internetteki herkes tarafından erişilebiliyordu.
Yoleri, TechCrunch’a, açığa çıkan verilerin potansiyel olarak kötü niyetli aktörlerin Microsoft’un dahili dosyalarını sakladığı diğer yerleri belirlemesine veya bunlara erişmesine yardımcı olabileceğini söyledi. Yoleri, bu depolama konumlarının belirlenmesinin “daha önemli veri sızıntılarına yol açabileceğini ve muhtemelen kullanılan hizmetlerin tehlikeye atılabileceğini” söyledi.
Araştırmacılar, 6 Şubat’ta Microsoft’a güvenlik açığını bildirdi ve Microsoft, 5 Mart’ta sızıntı dosyalarının güvenliğini sağladı.
Bulut sunucusunun ne kadar süre boyunca internete açık olduğu veya içindeki açığa çıkan verileri SOCRadar dışında birinin keşfedip keşfetmediği bilinmiyor. E-postayla ulaşılan Microsoft sözcüsü, yayınlandığı tarihte herhangi bir yorumda bulunmadı. Microsoft, açığa çıkan dahili kimlik bilgilerinden herhangi birinin sıfırlanıp sıfırlanmadığını veya değiştirilip değiştirilmediğini söylemedi.
Bu, Microsoft’un son yıllarda yaşanan bir dizi bulut güvenliği olayının ardından müşterilerinin güvenini yeniden inşa etmeye çalıştığı bir dönemde, son güvenlik gafıdır. Geçen yıl benzer bir güvenlik açığında araştırmacılar şunu buldu: Microsoft çalışanları kendi kurumsal ağ giriş bilgilerini ifşa ediyordu GitHub’da yayınlanan kodda.
Microsoft, geçen yıl şirketin Çin destekli bilgisayar korsanlarının üst düzey ABD hükümet yetkililerinin Microsoft tarafından barındırılan gelen kutularına geniş erişime izin veren dahili bir e-posta imzalama anahtarını nasıl çaldığını bilmediğini itiraf etmesinden sonra da ateş altında kalmıştı. E-posta ihlalini araştırmakla görevli bağımsız bir siber uzmanlar kurulu, geçen hafta yayınlanan raporlarında, bilgisayar korsanlarının “Microsoft’taki bir dizi güvenlik hatası” nedeniyle başarıya ulaştığını yazdı.
Mart ayında Microsoft, Rus devlet destekli bilgisayar korsanlarının şirketin kaynak kodunun bazı kısımlarını ve Microsoft şirket yöneticilerinden dahili e-postaları çalmasına olanak tanıyan devam eden bir siber saldırıya karşı mücadeleye devam ettiğini söyledi.