Microsoft Azure victime de la plus grande faille de sécurité de son histoire

Publié le 27 août 2021, 15:53

Microsoft a mis en garde des milliers de clients de son service de cloud computing Azure, dont de nombreuses entreprises du classement Fortune 500, contre une vulnérabilité qui a laissé leurs données complètement exposées au cours des deux dernières années.

Une faille dans le produit de base de données Azure Cosmos DB de Microsoft a laissé plus de 3 300 clients Azure ouverts à un accès totalement illimité par des attaquants.

Entrée sans clé sur le cloud Microsoft

La vulnérabilité a été introduite en 2019 lorsque Microsoft a ajouté une fonctionnalité de visualisation de données appelée Jupyter Notebook à Cosmos DB. La fonctionnalité a été activée par défaut pour toutes les bases de données Cosmos DB en février 2021.

Les chercheurs en sécurité notent que l’exploitation de la vulnérabilité, qu’ils ont nommée ChaosDB, était « triviale ».

La vulnérabilité existe dans la fonctionnalité Jupyter Notebook qui aide les utilisateurs à visualiser leurs données.

Sans donner trop de détails, les chercheurs notent que l’implémentation de Jupyter a permis aux attaquants d’accéder aux clés primaires de la base de données et à d’autres secrets très sensibles, comme son jeton d’accès au stockage des blobs.

En exploitant ces clés de détails, les chercheurs ont pu accéder à la base de données et exercer un contrôle total en lecture/écriture/suppression à partir d’Internet.

Dès qu’elle a été informée par les chercheurs, Microsoft a rapidement désactivé la fonction vulnérable de l’ordinateur portable pour éviter toute fuite de secrets. L’entreprise demande également à une partie de ses utilisateurs de faire tourner leurs clés afin de s’assurer que les clés déjà exfiltrées par des utilisateurs non autorisés soient rendues inutiles.

 

Liste des clients impactés

La Liste des clients Azure Cosmos DB comprend des entreprises comme Coca Cola, Liberty Mutual Insurance, ExxonMobil et Walgreens, pour n’en citer que quelques-unes.

« C’est la pire vulnérabilité du cloud que l’on puisse imaginer « , a déclaré Ami Luttwak, directeur de la technologie de Wiz, la société de sécurité qui… a découvert le problème. « Il s’agit de la base de données centrale d’Azure, et nous avons pu avoir accès à toutes les bases de données clients que nous voulions. »

Malgré la gravité et le risque présenté, Microsoft n’a vu aucune preuve que la vulnérabilité ait conduit à un accès illicite aux données. « Il n’y a aucune preuve que cette technique ait été exploitée par des acteurs malveillants ». Microsoft a déclaré Bloomberg dans une déclaration envoyée par courriel. « Nous n’avons pas connaissance d’un accès aux données des clients à cause de cette vulnérabilité ». Microsoft a payé Wiz 40 000 dollars pour la découverte, selon Reuters.

Dans un article de blog détaillé, Wiz indique que la vulnérabilité introduite par Jupyter Notebook a permis aux chercheurs de l’entreprise d’accéder aux clés primaires qui sécurisaient les bases de données Cosmos DB des clients Microsoft. Avec lesdites clés, Wiz avait un accès complet en lecture / écriture / suppression aux données de plusieurs milliers de clients Microsoft Azure.

En lien avec cet article :  Oculus Quest 2 : un nouveau modèle disponible avec 128 Go de stockage

Wiz dit avoir découvert le problème il y a deux semaines et Microsoft a désactivé la vulnérabilité dans les 48 heures après que Wiz l’ait signalée. Cependant, Microsoft ne peut pas changer les clés d’accès primaires de ses clients, c’est pourquoi la société a envoyé un courriel aux clients de Cosmos DB pour qu’ils changent manuellement leurs clés afin d’atténuer l’exposition.

Le problème d’aujourd’hui n’est que le dernier cauchemar en matière de sécurité pour Microsoft. La société a eu certains de ses code source volé par les pirates de SolarWinds à la fin du mois de décembre, son serveurs de messagerie Exchange ont été violés et impliqué dans des attaques de ransomware en mars, et une récente défaut de l’imprimante permettait aux attaquants de prendre le contrôle d’ordinateurs avec des privilèges au niveau du système. Cependant, les données du monde entier se déplaçant de plus en plus vers des services en nuage centralisés tels qu’Azure, la révélation d’aujourd’hui pourrait être le développement le plus troublant à ce jour pour Microsoft.

Lucas Gauvin
Lucas Gauvin

Diplômé de l’école d’ingénieur informatique 42, Lucas est un véritable touche à tout de l’informatique : code, objets connectés, hébergement… Le Hardware comme le Software n’ont (presque) aucun secret pour lui.

×
Lucas Gauvin
Lucas Gauvin

Diplômé de l’école d’ingénieur informatique 42, Lucas est un véritable touche à tout de l’informatique : code, objets connectés, hébergement… Le Hardware comme le Software n’ont (presque) aucun secret pour lui.

Latest Posts