Un chercheur en sécurité a découvert qu’il était possible dans Azure d’avoir accès au compte d’une autre personne. Selon Microsoft, il n’y a cependant aucune indication que cela soit dû à des gens mal intentionnés.
Cette faille a été baptisée AutoWarp et a été découverte par Yanir Tsarimi de la firme de sécurité Orca Security. Il a décelé le problème le 7 décembre déjà, l’a signalé dès le lendemain, et Microsoft l’a résolu dès le 10 décembre.
AutoWarp pouvait être abusé via Azure Automation Services, un service d’automatisation d’actions avec Powershell ou Python notamment. Pour y parvenir, il faut disposer d’un lien vers une identité gérée possédant les autorisations requises. Mais en raison d’une piètre protection, il est possible d’obtenir aussi des jetons d’identité gérée d’autres instructions d’automatisation, ce qui permet d’accéder au compte de quelqu’un d’autre.
Accès à l’environnement d’autrui sur un même serveur
Dans un message posté sur un blog et sur Twitter, Tsarimi explique en détail sa façon de faire. Il signale qu’il a expérimenté aléatoirement plusieurs fonctions dans Azure, à la recherche de problèmes potentiels. C’est ainsi entre autres qu’il a découvert que des ports spécifiques donnaient accès à des jetons d’identité gérée spécifiques.
A l’entendre, Tsarimi a ainsi pu accéder notamment au compte d’une entreprise télécom internationale, à deux constructeurs automobiles, à un groupe bancaire et à quatre importants bureaux comptables.
40.000 euros
Après que Tsarimi ait prévenu Microsoft, la faille est restée quelque peu en place, afin que Microsoft puisse examiner si des variantes du bug existaient. Entre-temps, l’entreprise a déclaré n’avoir trouvé aucun indice que la faille ait été abusée par des hackers. Pour sa découverte, Tsarimi a reçu une récompense (‘bug bounty’) de 40.000 euros.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici