Une faille de sécurité d’Azure a été patchée par Microsoft

Des chercheurs avaient découvert une faille liée à une mauvaise configuration de Microsoft Azure qui a divulgué des jetons d’accès sensibles. Cela aurait pu donner aux pirates un accès aux instances de machine virtuelle et aux compartiments de stockage sur le cloud. Après sa découverte, une mise à jour a corrigé ce que les chercheurs considéraient comme une vulnérabilité de mauvaise configuration dans le portail Microsoft Azure.

CyberArk a révélé la vulnérabilité dans un rapport détaillé de sa recherche. Selon CyberArk, ses chercheurs ont trouvé la faille en Septembre et Microsoft l’a «involontairement» corrigé moins de deux semaines après dans le cadre d’une mise à jour régulière de sa plateforme Azure.

Détails sur cette faille d’Azure

Les chercheurs ont déclaré que la faille du portail Microsoft Azure est liée à l’analyse d’URL dans un fichier JavaScript utilisé dans l’Extension Manifest d’Azure. Le portail Microsoft Azure est une console Web pour la création, la gestion et la surveillance d’une infrastructure cloud.

«Avec cette vulnérabilité de Microsoft Azure, les pirates pourraient prendre le contrôle des comptes Azure en exploitant une faille de mauvaise configuration dans le manifeste Azure Portal», a écrit Omer Tsarfati, chercheur en sécurité informatique chez CyberArk. “Microsoft a fini par corriger cette faille, involontairement, avant que nous puissions la signaler officiellement.”

Un manifeste, dans ce contexte, est un fichier de configuration JSON, qui définit les paramètres à utiliser par les applications Web. Un JSON, ou JavaScript Object Notation, est un format léger pour stocker et transporter des données envoyées d’un serveur à une page Web.

Dans cette matrice, les chercheurs ont déclaré avoir observé «des rapports de télémétrie envoyés à un domaine inexistant et que la plupart de ces demandes de télémétrie incluent des jetons d’accès».

Microsoft définit les jetons d’accès comme «un objet qui décrit le contexte de sécurité d’un processus ou d’un thread. Les informations contenues dans un jeton incluent l’identité et les privilèges du compte d’utilisateur associé au processus ou au thread. »

azure

CyberArk est allé jusqu’à créer deux exploits preuve de concept (PoC) pour cette vulnérabilité. Dans les deux preuves de concept, l’objectif est de prendre le contrôle des jetons d’accès de l’utilisateur.

Pour ce faire, les chercheurs ont développé deux techniques de manipulation DNS, une locale et une distante. Les deux profitent de l’erreur commise par Microsoft dans le code manifeste de son portail Azure où le chemin «AzureHubs/Hubs» est interprété comme un domaine «urehubs». L’erreur incite Azure à tenter de se connecter à un nom d’hôte inexistant «urehubs» (en supprimant «Az» depuis le début de l’URL) sous certaines conditions.

L’une des preuves de concept est basé sur le fait que «urehubs» est interprété comme une URL où il manque le .com ou tout suffixe de TLD(Top-Level Domain). Pour cette raison, Azure tente automatiquement de se connecter au domaine «urehubs» inexistant qui s’exécutent à travers une litanie de TLD(top-level domain) allant de .com, .net et .org.

Le premier exploit de CyberArk en profite en configurant un serveur HTTP avec le nom d’hôte «ureuhbs» et acquiert un certificat signé. “Finalement, chaque utilisateur Azure de ce domaine local qui surfe sur le portail Azure… enverra son jeton d’accès à ce serveur”, a déclaré CyberArk.

Exploiter cette faille, selon les chercheurs, nécessite de prendre le contrôle des TLD associés au nom d’hôte «ureuhbs». «Par mesure de responsabilité et de sécurité, nous avons acheté 27 domaines «urehubs» avec différents suffixes pour empêcher aux individus malveillants d’exploiter cette faille, y compris urehubs.com, urehubs.net, urehubs.org, etc.», ont écrit les chercheurs.

Une condition préalable importante à l’attaque était l’obtention d’un certificat valide. CyberArk a déclaré que cela permettait à un pirate d’abuser de différents domaines «urehubs» et finalement d’avoir des jetons d’accès qui leur étaient transmis.

«Dans un exploit… nous avons réussi à exploiter cette vulnérabilité et obtenu un jeton Azure d’une organisation externe», a écrit CyberArk.

Microsoft a mis à jour Azure le 6 septembre 2019, avec trois lignes de code, ce qui a fermé la porte à ce piratage. C’était après que CyberArk ait découvert le bug, mais avant qu’il ne puisse signaler la vulnérabilité. «En ajoutant l’URL à l’attribut href, Microsoft a réussi à mitiger la vulnérabilité en s’assurant que l’URL ne soit pas seulement le chemin d’accès mais une URL valide complète», a écrit CyberArk.

Ce correctif côté serveur ne nécessitait aucune action des clients Azure ou des utilisateurs finaux.

Microsoft affirme que la faille a été patchée intentionnellement

Microsoft a pris connaissance du problème et a ajouté qu’il avait été résolu intentionnellement. “Ce problème a été identifié en interne et nous avons déployé un correctif pour le résoudre”, a déclaré un porte-parole de Microsoft.

microsoft windows

Les chercheurs estiment que la fenêtre de temps dont disposaient les pirates informatiques pour exploiter cette vulnérabilité n’était que de deux semaines. Cependant, ils soulignent que ce bug est un signe avant-coureur d’autres bugs potentiels dans le cloud. Les entreprises doivent rester sur leurs gardes lorsqu’il s’agit de se reposer sur une infrastructure cloud tierce et une sécurité cloud tierce, ont déclaré les chercheurs.

«Les services cloud sont d’excellentes options pour de nombreuses entreprises. Pourtant, vous devez vous rappeler que compter sur «l’infrastructure de quelqu’un d’autre», c’est compter sur les mesures de sécurité de quelqu’un d’autre – ce qui peut être risqué », a écrit Tsarfati.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x