Azure Cosmos DB Jupyter Notebook 功能漏洞更新

2021年8月12日，一位安全研究人员报告了Azure Cosmos DB Jupyter Notebook功能中的一个漏洞，该漏洞可能允许用户通过账户的主读写密钥访问其他客户的资源。我们立即对该漏洞进行了缓解。

我们的调查表明，由于此漏洞，第三方或安全研究人员未访问任何客户数据。我们已经通知了在研究活动期间可能受影响的客户，建议他们重新生成密钥。

任何强大的安全态势的一部分是与研究人员合作，帮助发现漏洞，以便我们能够在它们被利用之前修复它们。感谢Wiz的研究人员Sagi Tzadik和Nir Ohfeld报告此漏洞，并与Microsoft安全响应中心（MSRC）在协调漏洞披露（CVD）下合作。

哪些Azure Cosmos DB账户可能受到影响？

此漏洞仅影响启用了Jupyter Notebook功能的一部分客户。已向所有可能因研究活动而受影响的客户发送通知，建议他们重新生成主读写密钥。其他密钥，包括辅助读写密钥、主只读密钥和辅助只读密钥，不受影响。

如果您未收到电子邮件或门户通知，则没有证据表明任何其他外部方访问了您的主读写账户密钥。如果您启用了诊断日志，还可以查看日志以查找异常IP地址。我们的建议是启用诊断日志记录和Azure Defender（如果可用），并定期轮换密钥。

如何重新生成主读写密钥

尽管没有客户数据被访问，但建议您按照此技术文档中描述的步骤重新生成主读写密钥。

还建议作为最佳实践：

• 所有Azure Cosmos DB客户在其账户上使用防火墙规则、vNet和/或Azure Private Link的组合。这些网络保护机制可防止从网络外部和意外位置访问。
• 除了实施网络安全控制外，我们鼓励使用基于角色的访问控制（Role Based Access Control）。基于角色的访问控制允许对每个用户和安全主体进行Azure Cosmos DB的访问控制——这些身份可以在Azure Cosmos DB的诊断日志中进行审计。
• 如果您无法使用基于角色的访问控制，我们建议实施定期计划的密钥轮换。
• 您可以在Azure Cosmos DB安全基线文档中找到其他安全最佳实践。

采取的行动

我们非常重视此漏洞。在问题报告给Microsoft安全响应中心后，我们遵循了事件响应流程，包括以下内容：

• 我们立即开始调查，并通过为所有客户关闭漏洞范围内的预览功能来缓解问题。
• 然后我们开始了取证调查。这是我们查看研究人员报告的内容并将其与我们的内部日志匹配的地方。然后，我们扩大了搜索范围，超出了研究人员的活动，以查找当前和过去类似事件的所有可能活动。我们的调查显示，除了研究人员的活动外，没有未经授权的访问。
• 作为取证调查的一部分，我们确定了所有需要联系和修复的客户，这些客户包括在2021年8月7日至13日研究活动期间积极使用Notebook功能或创建Azure Cosmos DB账户的一部分Azure Cosmos DB客户。
• 我们正在积极探索实施额外的保障措施，包括更新威胁模型和添加额外的监控以检测意外的数据访问。