Microsoft a révélé une autre énorme vulnérabilité de sécurité, le géant du logiciel étant contraint d’informer des milliers de clients Azure que leurs données étaient librement accessibles.
L’exploit a laissé les bases de données de plusieurs grandes entreprises ouvertes à un accès en lecture/écriture non autorisé, dans ce que l’on appelle la vulnérabilité “ChaosDB”.
La nouvelle intervient après une série d’exploits Windows embarrassants et importants qui ont laissé Microsoft jouer à fond avec un certain nombre de correctifs.
Ces vulnérabilités ont tiré parti des problèmes du système Windows Print Server et ont daté plusieurs versions du système d’exploitation.
Cette fois-ci, cependant, c’est le service de base de données Cosmos DB de Microsoft Azure qui souffre du problème.
Selon le cabinet de recherche Wiz, « une série de failles dans une fonctionnalité de Cosmos DB a créé une faille permettant à tout utilisateur de télécharger, supprimer ou manipuler une collection massive de bases de données commerciales, ainsi qu’un accès en lecture/écriture à l’architecture sous-jacente de Cosmos DB. “
L’équipe accuse une série de mauvaises configurations dans Cosmos DB d’avoir laissé la voie ouverte aux pirates pour y accéder.
Tout d’abord, Microsoft a réactivé un nouvel outil de visualisation dans Cosmos DB 2019, puis l’a activé par défaut en février de cette année.
Cependant, dans le processus, cela a également permis aux attaquants à la recherche de clés primaires Cosmos DB de les récupérer, entre autres.
Avec ces clés, Wiz a pu sécuriser un accès à long terme aux actifs et aux données que les entreprises – certaines familières de Fortune 500 – stockaient dans Azure.
Cela comprenait des autorisations complètes de lecture, d’écriture et de suppression.
Wiz a notifié Microsoft, qui a désactivé la vulnérabilité dans les 48 heures. L’entreprise va le reconcevoir et l’option de visualisation est actuellement désactivée.
«Cependant, les clients peuvent toujours être touchés car leurs clés d’accès primaires ont été potentiellement exposées», suggèrent Nir Ohfeld et Sagi Tzadik de Wiz.
« Ce sont des secrets de longue durée et en cas de violation, un attaquant pourrait utiliser la clé pour exfiltrer des bases de données.
Aujourd’hui, Microsoft a informé plus de 30% des clients de Cosmos DB qu’ils devaient faire pivoter manuellement leurs clés d’accès pour atténuer cette exposition.»
Même cela peut ne pas être la liste complète des personnes concernées, et Wiz recommande à tous les titulaires de compte Cosmos DB de suivre le guide de Microsoft pour régénérer et faire pivoter les clés de leur compte.
On ne sait pas quelles entreprises Microsoft a notifiées, bien que les clients de Cosmos DB incluent des marques comme Coca-Cola, Quest, Symantec, Citrix et Exxon-Mobil, entre autres.
Dans une déclaration à Bloomberg, Microsoft a insisté sur le fait qu’il n’avait aucune preuve d’exploitation de données via la vulnérabilité.
