Des détails ont été divulgués sur une vulnérabilité critique désormais résolue dans le service Azure Automation de Microsoft qui aurait pu permettre un accès non autorisé à d’autres comptes clients Azure et prendre le contrôle.

« Cette attaque pourrait signifier un contrôle total sur les ressources et les données appartenant au compte ciblé, en fonction des autorisations attribuées par le client », a déclaré Yanir Tsarimi, chercheur chez Orca Security, dans un rapport publié lundi.

La faille met potentiellement en danger plusieurs entités, dont une société de télécommunications anonyme, deux constructeurs automobiles, un conglomérat bancaire et quatre grands cabinets comptables, entre autres, a ajouté la société israélienne de sécurité des infrastructures cloud.

Le service Azure Automation permet l’automatisation des processus, la gestion de la configuration et la gestion des mises à jour du système d’exploitation dans une fenêtre de maintenance définie dans les environnements Azure et non Azure.

Surnommé « AutoWarp », le problème affecte tous les utilisateurs du service Azure Automation qui ont activé la fonctionnalité Managed Identity. Il convient de noter que cette fonctionnalité est activée par défaut. Suite à la divulgation responsable le 6 décembre 2021, le problème a été résolu dans un correctif publié le 10 décembre 2021.

« Les comptes Azure Automation qui utilisaient des jetons d’identités gérées pour l’autorisation et une bac à sable Azure pour l’exécution et l’exécution des tâches ont été exposés », a déclaré Microsoft Security Response Center (MSRC) dans un communiqué. « Microsoft n’a pas détecté de preuve d’utilisation abusive de jetons. »

Alors que les tâches d’automatisation sont conçues pour être isolées au moyen d’une sandbox afin d’empêcher l’accès par d’autres codes exécutés sur la même machine virtuelle, la vulnérabilité a permis à un mauvais acteur exécutant une tâche dans une Azure Sandbox d’obtenir les jetons d’authentification d’autres travaux d’automatisation.

« Quelqu’un avec des intentions malveillantes aurait pu continuellement saisir des jetons et, avec chaque jeton, étendre l’attaque à davantage de clients Azure », a noté Tsarimi.

La divulgation intervient près de deux mois après qu’Amazon Web Services (AWS) a corrigé deux vulnérabilités – appelées Superglue et BreakingFormation – dans les plates-formes AWS Glue et CloudFormation qui auraient pu être utilisées de manière abusive pour accéder aux données d’autres clients AWS Glue et divulguer des fichiers sensibles.

En décembre 2021, Microsoft a également résolu une autre faille de sécurité dans Azure App Service qui a entraîné l’exposition du code source des applications client écrites en Java, Node, PHP, Python et Ruby pendant au moins quatre ans depuis septembre 2017.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *