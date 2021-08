Microsoft a révélé que des milliers d’utilisateurs de la base de données Azure Cosmos DB pourraient avoir besoin de mettre à jour leurs protections de sécurité après la découverte d’une faille grave.

Cosmos DB est le service de base de données de Microsoft qui s’exécute sur sa plate-forme de cloud computing Azure et est utilisé par diverses entreprises Fortune 500 dans le monde entier.

Les chercheurs en cybersécurité de la société de sécurité d’infrastructure cloud Wiz ont découvert une série de failles dans l’une des fonctionnalités du service de base de données, qui pourraient être exploitées par des acteurs malveillants pour obtenir un contrôle total sur une base de données, ce qui signifie qu’ils pourraient lire ou même supprimer des données.

« Le cauchemar de tout RSSI, c’est quelqu’un qui obtient ses clés d’accès et exfiltre des gigaoctets de données d’un seul coup. Vous pouvez donc imaginer notre surprise lorsque nous avons pu obtenir un accès complet et illimité aux comptes et aux bases de données de plusieurs milliers de clients Microsoft Azure, y compris de nombreuses entreprises Fortune 500 », écrivent Nir Ohfeld et Sagi Tzadik de Wiz dans un article de blog commun.

Entrée sans clé

Les chercheurs en sécurité notent que l’exploitation de la vulnérabilité, qu’ils ont nommée ChaosDB, était « triviale ».

La vulnérabilité existe dans la fonctionnalité Jupyter Notebook qui aide les utilisateurs à visualiser leurs données. Il a été introduit en 2019 et a été automatiquement activé pour toutes les bases de données Cosmos DB en février 2021.

Sans donner trop de détails, les chercheurs notent que la mise en œuvre de Jupyter a donné aux attaquants l’accès aux clés primaires de la base de données et à d’autres secrets très sensibles tels que son jeton d’accès au stockage blob.

En exploitant ces clés de détails, les chercheurs ont pu accéder et exercer un contrôle complet en lecture/écriture/suppression sur la base de données à partir d’Internet.

Après avoir été informé par les chercheurs, Microsoft a rapidement désactivé la fonction de bloc-notes vulnérable pour éviter les fuites de secrets. La société demande également à une partie de ses utilisateurs de faire tourner leurs clés pour s’assurer que toutes les clés qui ont déjà été exfiltrées par des utilisateurs non autorisés sont rendues inutiles.

Selon ., l’e-mail de Microsoft soulignait le fait que la société n’avait trouvé aucune preuve suggérant que la faille avait été exploitée.

