La vulnérabilité du cloud Microsoft Azure est la « pire que vous puissiez imaginer »

Microsoft a averti des milliers de ses clients du cloud computing Azure, y compris de nombreuses entreprises Fortune 500, d’une vulnérabilité qui a laissé leurs données entièrement exposées au cours des deux dernières années.

Une faille dans le produit Azure Cosmos DB de Microsoft a laissé plus de 3 300 clients Azure ouverts pour un accès illimité aux attaquants. La vulnérabilité a été introduite en 2019 lorsque Microsoft a ajouté une fonctionnalité de visualisation de données appelée Jupyter Notebook à Cosmos DB. La fonctionnalité a été activée par défaut pour toutes les bases de données Cosmos en février 2021.

UNE liste des clients Azure Cosmos DB comprend des sociétés comme Coca Cola, Liberty Mutual Insurance, ExxonMobil et Walgreens, pour n’en nommer que quelques-unes.

« C’est la pire vulnérabilité du cloud imaginable », a déclaré Ami Luttwak, directeur de la technologie de Wiz, la société de sécurité qui découvert le problème. « Il s’agit de la base de données Azure centrale et nous avons pu accéder à n’importe quelle base de données client que nous voulions. »

Malgré la gravité et le risque présentés, Microsoft n’a trouvé aucune preuve de la vulnérabilité qui conduit à un accès illicite aux données. « Il n’y a aucune preuve que cette technique soit exploitée par des acteurs malveillants », Microsoft a dit Bloomberg dans un communiqué envoyé par e-mail. « Nous n’avons connaissance d’aucun accès aux données des clients en raison de cette vulnérabilité. » Microsoft a payé 40 000 $ à Wiz pour la découverte, selon Reuters.

Dans un article de blog détaillé, Wiz affirme que la vulnérabilité introduite par Jupyter Notebook a permis aux chercheurs de l’entreprise d’accéder aux clés primaires qui protégeaient les bases de données Cosmos DB pour les clients Microsoft. Avec ces clés, Wiz disposait d’un accès complet en lecture/écriture/effacement aux données de plusieurs milliers de clients Microsoft Azure.

READ  Ruud bat à nouveau Rune pour réserver les quatre dernières places à Roland-Garros

Wiz prétend avoir découvert le problème il y a deux semaines et Microsoft a désactivé la vulnérabilité dans les 48 heures suivant le rapport de Wiz. Cependant, Microsoft ne peut pas modifier les clés d’accès primaires de ses clients, c’est pourquoi la société a envoyé un e-mail aux clients de Cosmos DB pour modifier manuellement les clés afin d’atténuer l’exposition.

Le problème d’aujourd’hui n’est que le dernier cauchemar de sécurité pour Microsoft. La société a eu certains de ses propres code source volé par les pirates de SolarWinds fin décembre, son Les serveurs de messagerie Exchange ont été piratés Et impliqué dans des attaques de ransomware en mars, et une récente défaut de l’imprimante a permis aux attaquants de prendre le contrôle d’ordinateurs avec des privilèges au niveau du système. Mais avec les données du monde entier qui se déplacent de plus en plus vers des services cloud centralisés comme Azure, la révélation d’aujourd’hui peut être le développement le plus troublant pour Microsoft.

LEAVE A REPLY

Please enter your comment!
Please enter your name here