Lek in Microsoft Jupyter Notebooks maakte toegang tot klantgegevens mogelijk

[Captain Kirk]

Een kwetsbaarheid in Microsofts Jupyter Notebooks for Azure Cosmos DB maakte ongeautoriseerde toegang tot klantgegevens mogelijk. Microsoft heeft het probleem, dat aanwezig was van 12 augustus tot 6 oktober, inmiddels verholpen en zegt dat er geen misbruik van het beveiligingslek is gemaakt.

Jupyter Notebooks is een open source interactieve ontwikkelomgeving. Het wordt onder andere gebruikt voor datavisualisatie, het delen van code, machine learning, statische modellering, datatransformaties en simulaties. Een kwetsbaarheid maakte het mogelijk om zonder geldige inloggegevens toegang te krijgen. De enige vereiste was het achterhalen van de GUID van een actieve sessie.

Volgens Microsoft was misbruik van de kwetsbaarheid lastig, aangezien het om een 128-bit willekeurig GUID gaat en sessies één uur bestaan. Na een uur worden de workspace en alle data daarin, waaronder de notebooks, automatisch verwijderd. Het probleem met de authenticatie werd veroorzaakt door een aanpassing in een backend-API waar AzureCosmos DB Jupyter Notebooks gebruik van maken.

 

bron: https://www.security.nl