Microsoft a corrigé une vulnérabilité critique dans son service Azure Automation qui aurait pu permettre à un locataire cloud de prendre le contrôle total des ressources et des données appartenant à d’autres clients.
Microsoft Azure Automation est conçu pour permettre aux clients de planifier des tâches, de gérer les entrées et les sorties, etc., le code d’automatisation de chaque client s’exécutant dans un bac à sable, isolé du code des autres clients s’exécutant sur la même machine virtuelle.
Cependant, une vulnérabilité – découvert par Orca Security et surnommé « AutoWarp » – a brisé le caractère sacré de cet environnement virtualisé.
Distorsion temporelle
Les clients concernés par AutoWarp utilisant le service Azure Automation fournissant la fonctionnalité d’identité gérée par défaut dans leur compte d’automatisation ont été activés.
Les clients concernés comprenaient plusieurs grandes organisations, telles qu’une société mondiale de télécommunications, deux constructeurs automobiles, un conglomérat bancaire, quatre grands cabinets comptables et plus encore.
Microsoft a déclaré avoir contacté tous les clients potentiellement concernés.
Les chercheurs d’Orca ont découvert une faille qui permettait à un attaquant d’interagir avec un serveur interne qui gère les bacs à sable d’autres clients afin d’obtenir des jetons d’authentification pour d’autres comptes clients.
« Ces jetons peuvent être utilisés contre Azure pour effectuer toute action que le client aurait donnée au service Azure Automation », ont déclaré les chercheurs en sécurité du cloud Yanir Tsarimi et Yoav Alon d’Orca Security. La gorgée quotidienne.
« Ces autorisations pourraient permettre à l’attaquant d’avoir un contrôle total sur les ressources Azure, comme les machines virtuelles, et/ou les données appartenant au client, en fonction des autorisations attribuées par le client. »
Solution rapide
Ces problèmes de sécurité ont été signalés à Microsoft le 6 décembre, qui les a résolus en quatre jours. « Le processus de divulgation a été excellent. Les personnes du Microsoft Security Response Center sont très sympathiques et réactives », selon Tsarimi et Alon.
La vulnérabilité est le deuxième problème inter-locataires à avoir été révélé par Orca au cours des derniers mois. En janvier, le cabinet de conseil en sécurité a découvert une vulnérabilité dans le service d’intégration de données Amazon Web Services (AWS) Glue.
Cependant, Tsarimi et Alon ont déclaré que malgré leurs recherches, ils ne pensaient pas qu’il existe des problèmes de sécurité fondamentaux avec le cloud computing.
« Nous pensons que le cloud permet aux clients de créer plus rapidement des services plus sécurisés. Des vulnérabilités logicielles existent dans tous les types de logiciels, et le cloud transfère une grande partie de la responsabilité de la maintenance et de la correction des problèmes de sécurité des organisations vers les fournisseurs de cloud », ont-ils déclaré. .
« Par exemple, nous avons trouvé et signalé une vulnérabilité à Azure – ils ont rapidement corrigé la vulnérabilité [and] audité la plateforme pour s’assurer qu’elle n’était pas exploitée par un acteur malveillant, sans que le client n’ait besoin d’agir. »