Keine Gaudi: Fast Super-Cloud-GAU bei Microsoft

Bei Microsoft ist eingetreten, wovor sich viele Cloud-Anbieter insgeheim fürchteten: Getroffen hat es Azure mit seiner Cosmos DB, einer beliebten NoSQL-Datenbank. Das Datenbankmanagement wird dabei ganz im Sinn von PaaS weitgehend von Microsoft übernommen.

Nun haben Sicherheitsforscher eine Schwachstelle in der Funktion Jupyter-Notebook entdeckt. Dieses Feature war erst im Februar diesen Jahres durch Microsoft aktiviert worden. Der Vorgang zeigt, wie wichtig es ist, die Konfiguration in allen genutzten Cloud-Diensten beständig im Blick zu behalten und gerade neue Features sicherheitstechnisch kritisch zu bewerten.

Die Entdecker WIZ Research haben zur Schwachstelle folgendes Video erstellt:

Eine Webseite mit Informationen zur Schwachstelle ist hier zu finden: https://chaosdb.wiz.io/

Laut Microsoft kam es glücklicherweise nicht zu einem aktiven Ausnutzen dieser Schwachstelle, siehe folgende Stellungnahme:

Positiv hervorzuheben ist, dass nur zwei Tage nach Meldung der Sicherheitslücke das betroffene Jupyter-Notebook-Feature durch Microsoft deaktiviert wurde, sowie der offene Umgang mit der Schwachstelle.

Fix Once, Secure Everywhere

Dies zeigt einen weiteren Vorteil der Cloud: Wenn eine Schwachstelle im Zuständigkeitsbereich des Cloud-Anbieters liegt, muss diese in der Regel nur durch den Cloud-Anbieter gefixt werden. Auf der anderen Seite ist dies auch ein Unterscheidungsmerkmal in Bezug auf Anbieterqualität: Nur ein Cloud-Anbieter, der schnell reagiert, bietet den Kundendaten entsprechenden Schutz.

CV? Neee…

Leider gibt es – anders als für Schwachstellen in Anwendungen und Betriebssystemen – keine dedizierte Datenbank für Schwachstellen in Cloud-Diensten. Denn CVE-Nummer werden nur vergeben, wenn die die Software durch den Kunden kontrollier- bzw. installierbar ist (https://cloudsecurityalliance.org/blog/2018/08/13/cve-cloud-services-part-1/).

Die Grenzen der Elastizität: Auch die Cloud skaliert nicht immer

Das Heilsversprechen der Cloud – instantane, unbegrenzte Skalierbarkeit – wurde zuletzt auf eine harte Probe gestellt. Viele große Anbieter gingen aufgrund des Ansturms zeitweise in die Knie oder mussten ihr Angebot einschränken. Dabei ist das Problem bei kleinen Anbietern oder bei DIY nicht geringer: Nicht jede Firma kann plötzliche Nachfrageänderungen um mehrere Größenordnungen so passabel abfedern wie große Cloud-Provider. Häufig fallen den Akteuren ganz profane Probleme auf die Füße: zu wenige Server (z. B. Terminalserver), VPN-untaugliche Fachanwendungen, fehlende VPN-Lizenzen bzw. unterdimensionierte VPN-Gateways, mangelnde Brandbreite vor allem im Upload oder auch schlicht: fehlende Laptops, die nicht immer sofort beschafft werden können.

Azure: https://www.theregister.co.uk/2020/03/24/azure_seems_to_be_full/ 

O365: https://www.zdnet.com/article/microsoft-throttles-some-office-365-services-to-continue-to-meet-demand/ 

GCP: https://www.theregister.co.uk/2020/03/26/google_gsuite_outage/ 

Laptop-Mangel: https://www.telegraph.co.uk/technology/2020/03/12/surge-home-working-threatens-laptop-shortage-warns-computacenter/