Des d\u00e9tails ont \u00e9t\u00e9 divulgu\u00e9s sur une vuln\u00e9rabilit\u00e9 critique d\u00e9sormais corrig\u00e9e dans Microsoft Automatisation Azure<\/a> service qui aurait pu permettre un acc\u00e8s non autoris\u00e9 \u00e0 d’autres comptes clients Azure et prendre le contr\u00f4le.<\/p>\n “Cette attaque pourrait signifier un contr\u00f4le total sur les ressources et les donn\u00e9es appartenant au compte cibl\u00e9, en fonction des autorisations attribu\u00e9es par le client”, a d\u00e9clar\u00e9 Yanir Tsarimi, chercheur chez Orca Security. mentionn\u00e9<\/a> dans un rapport publi\u00e9 lundi.<\/p>\n La faille met potentiellement en danger plusieurs entit\u00e9s, dont une soci\u00e9t\u00e9 de t\u00e9l\u00e9communications anonyme, deux constructeurs automobiles, un conglom\u00e9rat bancaire et quatre grands cabinets comptables, entre autres, a ajout\u00e9 la soci\u00e9t\u00e9 isra\u00e9lienne de s\u00e9curit\u00e9 des infrastructures cloud.<\/p>\n Le service Azure Automation permet<\/a> pour l’automatisation des processus, la gestion de la configuration et la gestion des mises \u00e0 jour du syst\u00e8me d’exploitation dans une fen\u00eatre de maintenance d\u00e9finie dans les environnements Azure et non Azure.<\/p>\n Surnomm\u00e9 “D\u00e9formation automatique<\/strong>“, le probl\u00e8me affecte tous les utilisateurs du service Azure Automation qui ont le Identit\u00e9 g\u00e9r\u00e9e<\/a> fonctionnalit\u00e9 activ\u00e9e. Il convient de noter que cette fonctionnalit\u00e9 est activ\u00e9e par d\u00e9faut. Suite \u00e0 la divulgation responsable le 6 d\u00e9cembre 2021, le probl\u00e8me a \u00e9t\u00e9 r\u00e9solu dans un correctif publi\u00e9 le 10 d\u00e9cembre 2021.<\/p>\n “Les comptes Azure Automation qui utilisaient des jetons d’identit\u00e9s g\u00e9r\u00e9es pour l’autorisation et une Sandbox Azure pour l’ex\u00e9cution et l’ex\u00e9cution des t\u00e2ches ont \u00e9t\u00e9 expos\u00e9s”, Microsoft Security Response Center (MSRC) mentionn\u00e9<\/a> dans un rapport. “Microsoft n’a pas d\u00e9tect\u00e9 de preuve d’utilisation abusive de jetons.”<\/p>\n Alors que les t\u00e2ches d’automatisation sont con\u00e7ues pour \u00eatre isol\u00e9es au moyen d’une sandbox afin d’emp\u00eacher l’acc\u00e8s par d’autres codes ex\u00e9cut\u00e9s sur la m\u00eame machine virtuelle, la vuln\u00e9rabilit\u00e9 a permis \u00e0 un mauvais acteur ex\u00e9cutant une t\u00e2che dans une Azure Sandbox d’obtenir les jetons d’authentification d’autres travaux d’automatisation.<\/p>\n “Quelqu’un avec des intentions malveillantes aurait pu continuellement saisir des jetons et, avec chaque jeton, \u00e9tendre l’attaque \u00e0 davantage de clients Azure”, a not\u00e9 Tsarimi.<\/p>\n La divulgation intervient pr\u00e8s de deux mois apr\u00e8s qu’Amazon Web Services (AWS) a corrig\u00e9 deux vuln\u00e9rabilit\u00e9s – surnomm\u00e9es Super colle<\/a> et RuptureFormation<\/a> \u2013 dans les services AWS Glue et CloudFormation qui auraient pu \u00eatre abus\u00e9s pour acc\u00e9der aux donn\u00e9es d’autres clients AWS Glue et divulguer des fichiers sensibles.<\/p>\n En d\u00e9cembre 2021, Microsoft a \u00e9galement r\u00e9solu une autre faille de s\u00e9curit\u00e9 dans Azure App Service qui a entra\u00een\u00e9 l’exposition du code source des applications client \u00e9crites en Java, Node, PHP, Python et Ruby pendant au moins quatre ans depuis septembre 2017.<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646124018_583_Le-logiciel-malveillant-Daxin-lie-a-la-Chine-a-cible.png\")
<\/a><\/div>\n![\"Microsoft](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/Le-bogue-AutoWarp-de-Microsoft-Azure-aurait-pu-permettre-aux.gif\" "\\"Microsoft")
<\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646326908_645_Correctifs-critiques-publies-pour-la-gamme-Cisco-Expressway-les-produits.jpeg\")
<\/a><\/div>\n