Microsoft a corrigé une faille de sécurité dans la fonctionnalité Power Platform Custom Connectors qui permettait aux attaquants non authentifiés d’accéder aux applications interlocataires et aux données sensibles des clients Azure après avoir été qualifiés de « grossièrement irresponsables » par le PDG de Tenable.
La cause première du problème provenait de mesures de contrôle d’accès inadéquates pour les hôtes Azure Function lancés par des connecteurs au sein de Power Platform. Ces connecteurs utilisent du code C# personnalisé intégré dans une fonction Azure gérée par Microsoft avec un déclencheur HTTP.
Bien que l’interaction du client avec les connecteurs personnalisés se produise généralement via des API authentifiées, les points de terminaison d’API ont facilité les demandes à la fonction Azure sans appliquer l’authentification.
Cela a créé une opportunité pour les attaquants d’exploiter les hôtes Azure Function non sécurisés et d’intercepter les ID et les secrets des clients OAuth.
« Il convient de noter qu’il ne s’agit pas exclusivement d’un problème de divulgation d’informations, car la possibilité d’accéder et d’interagir avec les hôtes de fonction non sécurisés, et de déclencher un comportement défini par un code de connecteur personnalisé, pourrait avoir un impact supplémentaire », déclare la société de cybersécurité Tenable qui a découvert la faille et l’a signalé le 30 mars.
« Cependant, en raison de la nature du service, l’impact varierait pour chaque connecteur individuel et serait difficile à quantifier sans tests exhaustifs. »
« Pour vous donner une idée de la gravité de la situation, notre équipe a très rapidement découvert des secrets d’authentification auprès d’une banque. Ils étaient tellement préoccupés par la gravité et l’éthique du problème que nous avons immédiatement informé Microsoft », a ajouté le PDG de Tenable, Amit Yoran.
Tenable a également partagé le code d’exploitation de preuve de concept et des informations sur les étapes nécessaires pour trouver les noms d’hôte des connecteurs vulnérables et sur la manière de concevoir les requêtes POST pour interagir avec les points de terminaison d’API non sécurisés.
En enquêtant sur le rapport de Tenable, la société a d’abord découvert que le chercheur était le seul à exploiter le problème. Après une analyse plus approfondie en juillet, Microsoft a déterminé qu’il y avait certaines fonctions Azure dans un état de « suppression logicielle » qui n’avaient pas été correctement atténuées.
Microsoft a finalement résolu le problème pour tous les clients le 2 août après qu’un premier correctif déployé par Redmond le 7 juin ait été marqué par Tenable comme incomplet.
« Ce problème a été entièrement résolu pour tous les clients et aucune action corrective n’est requise », a déclaré Microsoft vendredi.
Redmond a depuis informé tous les clients concernés via le centre d’administration Microsoft 365 à partir du 4 août.
Même si Microsoft affirme que le problème de divulgation d’informations a été résolu pour tous les clients Azure, Tenable pense que le correctif ne s’applique qu’aux connecteurs personnalisés Power Apps et Power Automation nouvellement déployés.
« Microsoft a résolu le problème des connecteurs nouvellement déployés en exigeant que les clés de fonction Azure accèdent aux hôtes de fonction et à leur déclencheur HTTP », déclare Tenable.
« Nous renvoyons les clients qui ont besoin de détails supplémentaires concernant la nature des mesures correctives déployées à Microsoft pour obtenir des réponses faisant autorité. »
Le correctif n’est venu qu’après la critique publique
Microsoft a corrigé la faille après une période de cinq mois, mais pas avant que le PDG de Tenable n’ait émis des critiques véhémentes contre la réponse initiale. Yoran a condamné l’approche de Microsoft comme « grossièrement irresponsable » et « manifestement négligente ».
Pour aggraver les choses, l’engagement initial de Redmond à résoudre le problème en septembre s’est largement écarté du délai prévu de 90 jours, généralement respecté par la plupart des fournisseurs lorsqu’il s’agit de corriger les vulnérabilités de sécurité.
Ce retard prolongé a ajouté aux préoccupations et soulevé des questions supplémentaires sur la rapidité de la réponse de Microsoft aux problèmes de sécurité affectant ses produits.
« Microsoft a-t-il rapidement résolu le problème susceptible d’entraîner la violation des réseaux et des services de plusieurs clients ? Bien sûr que non. Il a fallu plus de 90 jours pour mettre en œuvre un correctif partiel, et uniquement pour les nouvelles applications chargées dans le service », déclare Yoran. a dit.
« Cela signifie qu’à ce jour, la banque que j’ai mentionnée ci-dessus est toujours vulnérable, plus de 120 jours depuis que nous avons signalé le problème, tout comme toutes les autres organisations qui avaient lancé le service avant le correctif.
« Et, à notre connaissance, ils n’ont toujours aucune idée qu’ils sont à risque et ne peuvent donc pas prendre de décision éclairée concernant les contrôles compensatoires et les autres mesures d’atténuation des risques. »