Une entreprise de sécurité a découvert un problème qui lui a permis d’accéder à une grande quantité de données de clients de services cloud Microsoft Azure, elle a déclaré qu’il s’agissait de la “pire vulnérabilité cloud que vous puissiez imaginer”. Microsoft déclare ne pas être au courant que la faille de sécurité a été exploitée par des acteurs malveillants.
L’entreprise qui a découvert la faille a pu accéder aux bases de données et avait la possibilité non seulement de visualiser le contenu, mais également de modifier et de supprimer des informations de la base de données Cosmos.
C’est une équipe de recherche de la société de sécurité Wiz qui a découvert qu’elle était capable d’accéder aux clés qui contrôlent l’accès aux bases de données de milliers d’entreprises. Le directeur de la technologie de Wiz, Ami Luttwak, est un ancien responsable du groupe de sécurité cloud de Microsoft, il a donc également joué avec un avantage lorsqu’il s’est agi de découvrir la faille.
Pour accéder à la base de données Cosmos, la société de sécurité a d’abord eu accès aux clés primaires de la base de données client. Rappelons qu’en 2019, Microsoft a ajouté une fonctionnalité appelée Jupyter Notebook à la base de données Cosmos qui permet aux clients de visualiser leurs données et de créer des vues personnalisées. La fonctionnalité a été automatiquement activée pour toutes les bases de données Cosmos en février 2021.
Wiz rappelle que certaines des entreprises utilisant cette base de données Cosmos sont des géants comme Coca-Cola, Exxon-Mobil et Citrix, comme on peut le voir sur le site officiel de ce service.
Microsoft ne peut pas modifier ces clés
Étant donné que Microsoft ne peut pas modifier ces clés lui-même, jeudi, il a envoyé un e-mail aux clients leur demandant d’en créer de nouvelles. Microsoft a accepté de payer 40 000 $ à Wiz pour avoir trouvé le bogue et l’avoir signalé. Les responsables de Microsoft n’ont pas commenté davantage le problème de sécurité.
Dans un e-mail que Microsoft a envoyé à Wiz, la société a déclaré avoir corrigé la vulnérabilité et qu’il n’y avait aucune preuve montrant que le bogue avait été exploité. “Nous n’avons aucune indication que des entités externes en dehors du chercheur (Wiz) ont eu accès à la clé de lecture-écriture principale”, indique le courrier.
« C’est la pire vulnérabilité du cloud que vous puissiez imaginer. C’est un secret de longue date », déclare Ami Luttwak, directeur technique de Wiz. « Il s’agit de la base de données centrale d’Azure, et nous avons pu accéder à n’importe quelle base de données client que nous voulions », ajoute-t-il.