Microsoft a mis en garde des clients contre un bug, via lequel des hackers pourraient dérober des données. C’est la deuxième annonce de ce genre en l’espace de deux semaines.
Le problème a été découvert par Palo Alto Networks et pour autant qu’on sache, il n’a pas encore été exploité par des pirates. L’équipe du chercheur Ariel Zelivansky de Palo Alto a découvert que des containers dans Azure utilisaient du code qui n’avait pas été corrigé contre un bug connu.
Il est ainsi possible de prendre le contrôle complet d’un cluster intégrant des containers d’autres utilisateurs. Un container est un environnement virtuel, où les clients de fournisseurs de nuages peuvent faire tourner des applications. Microsoft donne davantage d’informations sur le sujet dans un communiqué posté sur son blog.
Zelivansky en personne signale qu’il a fallu à son équipe des mois de travail pour détecter la faille. Il estime par conséquent qu’il n’y a guère de risque que des hackers moins bien intentionnés aient fait de même.
Le bug avait été signalé en juillet et est à présent corrigé. Microsoft a entre-temps recommandé aux clients concernés d’adapter leurs données de login, à présent que le problème est de notoriété publique. Mais le timing intervient à peine une semaine, après que Microsoft ait été forcée de résoudre un problème similaire dans Azure.