Microsoft a r\u00e9v\u00e9l\u00e9 lundi avoir att\u00e9nu\u00e9 une faille de s\u00e9curit\u00e9 affectant Azure Synapse et Azure Data Factory qui, si elle est exploit\u00e9e avec succ\u00e8s, pourrait entra\u00eener l’ex\u00e9cution de code \u00e0 distance.<\/p>\n
La vuln\u00e9rabilit\u00e9, suivie comme CVE-2022-29972<\/a>porte le nom de code “SynLapse<\/b><\/a>” par des chercheurs d’Orca Security, qui ont signal\u00e9 la faille \u00e0 Microsoft en janvier 2022.<\/p>\n “La vuln\u00e9rabilit\u00e9 \u00e9tait sp\u00e9cifique au tiers Open Database Connectivity (ODBC<\/a>) pilote utilis\u00e9 pour se connecter \u00e0 Amazon Redshift dans les pipelines Azure Synapse et Azure Data Factory Integration Runtime (IR<\/a>) et n’a pas eu d’impact sur Azure Synapse dans son ensemble \u00bb, la soci\u00e9t\u00e9 mentionn\u00e9<\/a>.<\/p>\n “La vuln\u00e9rabilit\u00e9 aurait pu permettre \u00e0 un attaquant d’ex\u00e9cuter des commandes \u00e0 distance sur une infrastructure IR non limit\u00e9e \u00e0 un seul locataire.”<\/p>\n En d’autres termes, un acteur malveillant peut armer le bogue pour acqu\u00e9rir le certificat de service Azure Data Factory et acc\u00e9der aux runtimes d’int\u00e9gration d’un autre locataire pour acc\u00e9der \u00e0 des informations sensibles, brisant ainsi les protections de s\u00e9paration des locataires.<\/p>\n Le g\u00e9ant de la technologie, qui a r\u00e9solu la faille de s\u00e9curit\u00e9 le 15 avril, a d\u00e9clar\u00e9 n’avoir trouv\u00e9 aucune preuve d’utilisation abusive ou d’activit\u00e9 malveillante associ\u00e9e \u00e0 la vuln\u00e9rabilit\u00e9 dans la nature.<\/p>\n