Des chercheurs ont informé Microsoft d’une grave faille de sécurité sur sa base répartie haute performance et 100% cloud Azure Cosmo DB. Mais il ne semble pas y avoir matière à paniquer…

« Des milliers de clients cloud exposés », « Le cloud de Microsoft compromis », « La pire vulnérabilité cloud »… Le moins que l’on puisse dire, c’est que Microsoft s’est attiré mauvaise presse avec sa dernière faille de sécurité. Des gros titres qui font dans le spectaculaire et laissent croire à une faille sur l’ensemble du cloud Azure. On en est cependant très loin, même si la faille est en soi assez critique.

Les chercheurs en cybersécurité de « Wiz.io » ont annoncé avoir découvert dans le service « Cosmos DB » une grave faille de sécurité rendant perméables les protections inter-tenants : en utilisant un « Jupyter notebook container » spécialement créé pour l’occasion, les hackers ont réussi une escalade de privilèges sur les notebooks des autres utilisateurs de la base de données cloud de Microsoft. Ainsi, ils ont pu avoir accès aux « clés d’accès » des entreprises clientes de CosmosDB. En possession de telles clés, il leur était possible sur le long terme d’accéder en lecture et écriture aux données de milliers d’entreprises, stockées dans ce service cloud.

Contrairement aux gros titres, ce n’est donc pas tout le cloud Microsoft qui fût en péril mais uniquement le service Cosmos DB. La faille est en revanche effectivement l’une des pires que l’on puisse imaginer pour des DSI et nécessite toute leur attention si leur entreprise est effectivement utilisatrice de ce service.

La possibilité d’exploiter des notebooks Jupyter sous forme de containers a été ajoutée à Cosmos DB en 2019 mais n’est automatiquement activée que depuis février 2021. Toutes les entreprises qui utilisent cette fonctionnalité sont potentiellement concernées par cette faille et ses conséquences à long terme.

Les chercheurs de Wiz Research notent qu’ « il faut accorder un énorme crédit aux équipes de sécurité de Microsoft pour avoir pris des mesures immédiates pour résoudre le problème. On voit rarement des entreprises bouger aussi vite ! Ils ont désactivé la fonctionnalité vulnérable dans les 48H après notre signalement en attendant une refonte de sa sécurité ».

Normalement, une faille dans un service cloud se corrige par le fournisseur cloud et le problème est alors résolu. Mais dans ce cas précis, les choses sont un peu plus compliquées : par cette technique, les éventuels hackers malveillants ont potentiellement pu récupérer des clés d’accès qui restent toujours valides. Il est donc impératif que tous les clients Cosmos DB changent leur clé d’accès au service et ceci le plus rapidement possible. Microsoft a ainsi envoyé un courrier aux entreprises à priori les plus concernées (celles qui utilisent des Notebook Containers sur Cosmos DB) pour les inviter à agir au plus vite.

La bonne nouvelle, c’est qu’à l’étude de leurs indicateurs de compromission et de leurs logs, les équipes de sécurité de Microsoft pensent que la faille découverte par Wiz Research n’a pas été découverte et exploitée par d’autres hackers avant que Microsoft n’ait eu le temps de la corriger.

Reste que pour l’éditeur cette nouvelle faille fait suite à une succession d’autres incidents après la terrible attaque contre les serveurs de messagerie Exchange en début d’année et le problème des listes non chiffrées de Power Apps rappelant les limites du « Security by Design ».

Elle arrive par ailleurs alors que Joe Biden a convoqué la semaine dernière les CEO de Google, Microsoft, Apple, IBM et de quelques grandes banques pour un sommet de la cybersécurité. À l’issue
de cette réunion, Google a promis d’investir 10 milliards de dollars sur 5 ans dans le développement de programmes « Zero Trust », Microsoft 20 milliards pour accélérer le développement de produits sécurisés et de solutions avancées, et IBM et Amazon vont aussi massivement investir dans la formation.