آسیبپذیری کشف شده در سرویس Azure در پایگاه داده به هکرها اجازه میدهد تا اطلاعات بیش از ۳۳۰۰ مشتری این سرویس را به صورت غیرمجاز دریافت کنند.
مایکروسافت اعلام کرد این آسیبپذیری در سال ۲۰۱۹ و با اضافه شدن قابلیتی به نام Jupyter Notebook به Cosmos DB به وجود آمد. عرضه عمومی این ویژگی نیز در ماه فوریه 2021 بوده است.
امی لوتواک از شرکت فناوری Wiz که این آسیب پذیری را کشف کرده در مورد آن می گوید: آسیب پذیری موردنظر بدترین نوع در سیستم ابری است و با توجه به اینکه در آن پایگاه داده مرکزی آژور مطرح است امکان دسترسی به پایگاه داده های دیگر نیز وجود خواهد داشت.
به گفته مایکروسافت تاکنون هیچ گونه دسترسی غیرمجاز به اطلاعات و مدرکی مبنی بر آن کشف نشده است. شرکت Wizنیز به دلیل کشف این آسیب پذیری چهل هزار دلار پاداش دریافت کرده است. این شرکت گفته است: با توجه به بررسی هایی که بر روی لاگ ها انجام گرفته هیچگونه رخنه ای در پایگاه داده این سرویس انجام نگرفته است.
طبق گفته های شرکت Wiz آسیب پذیری مورد نظر با دستیابی به کلیدهای ایمنی دسترسی به پایگاه داده را فراهم می کند. در واقع با دسترسی به این کلیدها امکان تغییر و یا حذف اطلاعات هزاران کاربر برای این سرویس وجود دارد.
پس از اعلام شرکت Wiz مبنی بر وجود این آسیبپذیری مایکروسافت طی ۴۸ ساعت آن را برطرف کرد. اما امکان تغییر کلیدهای اصلی مشتریان توسط مایکروسافت وجود ندارد و به همین دلیل طی ایمیلی از کاربران خواسته شده تا با تغییر کلید ها از آسیب پذیری در امان بمانند.