Des détails ont été divulgués sur une vulnérabilité critique désormais corrigée dans Microsoft Automatisation Azure service qui aurait pu permettre un accès non autorisé à d’autres comptes clients Azure et prendre le contrôle.
« Cette attaque pourrait signifier un contrôle total sur les ressources et les données appartenant au compte ciblé, en fonction des autorisations attribuées par le client », a déclaré Yanir Tsarimi, chercheur chez Orca Security. mentionné dans un rapport publié lundi.
La faille met potentiellement en danger plusieurs entités, dont une société de télécommunications anonyme, deux constructeurs automobiles, un conglomérat bancaire et quatre grands cabinets comptables, entre autres, a ajouté la société israélienne de sécurité des infrastructures cloud.
Le service Azure Automation permet pour l’automatisation des processus, la gestion de la configuration et la gestion des mises à jour du système d’exploitation dans une fenêtre de maintenance définie dans les environnements Azure et non Azure.
Surnommé « Déformation automatique« , le problème affecte tous les utilisateurs du service Azure Automation qui ont le Identité gérée fonctionnalité activée. Il convient de noter que cette fonctionnalité est activée par défaut. Suite à la divulgation responsable le 6 décembre 2021, le problème a été résolu dans un correctif publié le 10 décembre 2021.
« Les comptes Azure Automation qui utilisaient des jetons d’identités gérées pour l’autorisation et une Sandbox Azure pour l’exécution et l’exécution des tâches ont été exposés », Microsoft Security Response Center (MSRC) mentionné dans un rapport. « Microsoft n’a pas détecté de preuve d’utilisation abusive de jetons. »
Alors que les tâches d’automatisation sont conçues pour être isolées au moyen d’une sandbox afin d’empêcher l’accès par d’autres codes exécutés sur la même machine virtuelle, la vulnérabilité a permis à un mauvais acteur exécutant une tâche dans une Azure Sandbox d’obtenir les jetons d’authentification d’autres travaux d’automatisation.
« Quelqu’un avec des intentions malveillantes aurait pu continuellement saisir des jetons et, avec chaque jeton, étendre l’attaque à davantage de clients Azure », a noté Tsarimi.
La divulgation intervient près de deux mois après qu’Amazon Web Services (AWS) a corrigé deux vulnérabilités – surnommées Super colle et RuptureFormation – dans les services AWS Glue et CloudFormation qui auraient pu être abusés pour accéder aux données d’autres clients AWS Glue et divulguer des fichiers sensibles.
En décembre 2021, Microsoft a également résolu une autre faille de sécurité dans Azure App Service qui a entraîné l’exposition du code source des applications client écrites en Java, Node, PHP, Python et Ruby pendant au moins quatre ans depuis septembre 2017.