La vulnérabilité de Microsoft Azure expose les bases de données PostgreSQL à d’autres clients


Microsoft a révélé jeudi avoir résolu deux problèmes avec le serveur flexible Azure Database pour PostgreSQL qui pourraient entraîner un accès non autorisé à la base de données entre comptes dans une région.

« En exploitant un bogue d’autorisations élevées dans le processus d’authentification du serveur flexible pour un utilisateur de réplication, un utilisateur malveillant pourrait tirer parti d’une expression régulière mal ancrée pour contourner l’authentification afin d’accéder aux bases de données d’autres clients », Microsoft Security Response Center (MSRC) mentionné.

La cyber-sécurité

La société de sécurité cloud basée à New York, Wiz, qui a découvert les failles, a surnommé la chaîne d’exploitation « Réplique supplémentaire. » Microsoft a déclaré avoir atténué le bogue dans les 48 heures suivant sa divulgation le 13 janvier 2022.

Plus précisément, il s’agit d’un cas d’élévation de privilèges dans le moteur Azure PostgreSQL pour obtenir l’exécution de code et un contournement d’authentification entre comptes au moyen d’un faux certificat, permettant à un attaquant de créer une base de données dans la région Azure de la cible et d’exfiltrer des informations sensibles.

En d’autres termes, l’exploitation réussie des failles critiques aurait pu permettre à un adversaire d’obtenir un accès en lecture non autorisé aux bases de données PostgreSQL d’autres clients, contournant efficacement l’isolation des locataires.

Wiz a réduit à zéro l’escalade de privilèges à un bogue résultant de modifications introduites dans le moteur PostgreSQL pour renforcer leur modèle de privilèges et ajouter de nouvelles fonctionnalités. Le nom ExtraReplica vient du fait que l’exploit exploite une fonctionnalité PostgreSQL qui permet de copier les données de la base de données d’un serveur à un autre, c’est-à-dire de « répliquer » la base de données.

La cyber-sécurité

Le fabricant de Windows a décrit la vulnérabilité de sécurité comme affectant les instances de PostgreSQL Flexible Server déployées à l’aide du option de mise en réseau d’accès publicmais a souligné qu’il n’avait trouvé aucune preuve d’exploitation active de la faille et qu’aucune donnée client n’avait été consultée.

« Aucune action n’est requise de la part des clients », a déclaré MSRC. « Afin de minimiser davantage l’exposition, nous recommandons aux clients d’activer l’accès au réseau privé lors de la configuration de leurs instances Flexible Server. »



ttn-fr-57