Microsoft a mis en garde des milliers de ses clients du cloud computing, dont certains des plus grands au monde, contre la vulnérabilité qui a laissé leurs données exposées au cours des deux dernières années.
La vulnérabilité réside dans la base de données centrale Cosmos dans Microsoft Azure, affectant plus de 3 300 clients.
Et une équipe de recherche de la société de sécurité Wiz a découvert qu’elle était capable d’accéder aux clés qui contrôlent l’accès aux bases de données gérées par des milliers d’entreprises.
Étant donné que l’entreprise ne pouvait pas modifier ces clés par elle-même, j’ai envoyé un e-mail aux clients leur disant de créer de nouvelles clés.
Le géant du logiciel a accepté de payer 40 000 $ à Wiz pour trouver et signaler le bogue. Elle a remercié les chercheurs en sécurité d’avoir travaillé sur la divulgation coordonnée des vulnérabilités.
L’e-mail de la société aux clients indiquait qu’elle avait immédiatement corrigé la vulnérabilité pour assurer la sécurité et la protection des clients, et qu’il n’y avait aucune preuve que la faille avait été exploitée.
Il a ajouté : Nous n’avons aucune indication que des entités externes en dehors de Wiz Finder ont accès à la clé de lecture-écriture principale.
« C’est la pire vulnérabilité dans le cloud que vous puissiez imaginer », a déclaré Wiz. Il s’agit de la base de données centrale d’Azure, et nous avions accès à toutes les bases de données clients que nous voulions.
Wiz a déclaré avoir découvert le problème, baptisé ChaosDB, le 9 août et notifié Microsoft le 12 août.
Microsoft met en garde des milliers de clients du cloud en raison d’une vulnérabilité
Le bogue se trouvait dans un outil appelé Jupyter Notebook, disponible depuis des années. Mais il est activé par défaut dans Cosmos à partir de février.
La révélation intervient après des mois de mauvaises nouvelles en matière de sécurité pour Microsoft. La société a été piratée par le même pirate informatique présumé du gouvernement russe qui a infiltré SolarWinds. Et qui a volé le code source du géant du logiciel.
L’entreprise avait besoin de corriger une faille de service d’impression au sein de son système d’exploitation qui permettait des prises de contrôle fréquentes de l’ordinateur avec des privilèges à l’échelle du système.
Une faille de messagerie dans Exchange a conduit le gouvernement américain à avertir de toute urgence que les clients doivent installer les correctifs publiés il y a des mois, car des gangs de ransomware les exploitent maintenant.
Les problèmes d’Azure sont ennuyeux, car l’entreprise a poussé les entreprises à abandonner la plupart de leur infrastructure et à s’appuyer sur le cloud pour plus de sécurité. Mais si les attaques dans le cloud sont rares, elles peuvent être encore plus dévastatrices lorsqu’elles se produisent. De plus, certains d’entre eux ne sont jamais annoncés.
Il est à noter que le service AWS a dominé le marché de 2002 à 2009, puis Microsoft est entré dans la compétition en 2010 pour remporter la bataille de la croissance, puisqu’il a réussi à atteindre un taux de croissance de 76% sur un an de Microsoft Azure, contre 46% pour AWS.