« La pire vulnérabilité du cloud que vous puissiez imaginer » trouvée dans Microsoft Azure

« La pire vulnérabilité du cloud que vous puissiez imaginer » trouvée dans Microsoft Azure

28 août 2021 0 Par Le Caiman
Augmenter / Cosmos DB est un service de base de données géré qui offre – y compris des structures de données relationnelles et noSQL – lié à l’infrastructure cloud Azure de Microsoft.

Fournisseur de sécurité cloud Wiz Annoncé hier, il a découvert une vulnérabilité dans le service de base de données gérée de Microsoft Azure, Cosmos DB, qui donnait à toutes les bases de données un accès en lecture/écriture au service pour tout attaquant ayant détecté et exploité le bogue.

Bien que Wiz n’ait découvert la vulnérabilité – qu’il a nommée « Chaos DB » – qu’il y a deux semaines, la société affirme que la vulnérabilité est présente sur le système depuis « au moins quelques mois, peut-être des années ».

Une fronde autour de Jupyter

En 2019, Microsoft a ajouté la fonctionnalité open source Jupyter Notebook à Cosmos DB. Jupyter Notebooks est un moyen très facile à utiliser pour implémenter des algorithmes d’apprentissage automatique ; Microsoft Notebooks l’a spécifiquement promu comme un outil utile pour la visualisation avancée des données stockées dans Cosmos DB.

La fonctionnalité Jupyter Notebook a été automatiquement activée pour toutes les instances Cosmos DB en février 2021, mais Wiz pense que le bogue en question est susceptible de remonter encore plus loin – peut-être jusqu’à la première introduction à Cosmos DB dans la fonctionnalité en 2019.

Wiz ne donne pas tous les détails techniques, mais la version courte est que le déverrouillage dans l’aspect Jupyter de l’exploitation ouvre l’augmentation des privilèges. Une telle exploitation pourrait être utilisée à mauvais escient pour accéder à d’autres clés client de Cosmos DB – selon Wiz, du tout Clé client Cosmos DB autre clé, ainsi que d’autres secrets.

L’accès à la clé d’exemple principale de Cosmos DB est « game over ». Il permet la lecture, l’écriture et la suppression complète des autorisations complètes pour l’ensemble de la base de données associée à cette clé. Le directeur technologique de Wiz, Ami Luttwak, décrit cela comme « la pire vulnérabilité cloud que vous puissiez imaginer », ajoutant : « Il s’agit de la base de données centrale d’Azure, et nous avons pu accéder à tous les clients de base de données que nous voulions. »

Secrets depuis longtemps

Contrairement aux résolutions et aux jetons asymétriques, la clé primaire de Cosmos DB n’expirera pas – si elle a déjà été divulguée et n’est pas modifiée, un attaquant pourrait toujours utiliser cette clé pour déchiffrer, manipuler ou manipuler la base de données détruite dans des années.

Selon Wiz, Microsoft n’a lancé qu’environ 30% de ses clients Cosmos DB sous la vulnérabilité. L’e-mail a averti ces utilisateurs de faire pivoter manuellement leur clé primaire, afin de s’assurer qu’aucune clé de fuite n’est plus utile aux attaquants. Ces clients Cosmos DB sont les clients dont la fonctionnalité Jupyter Notebook a été activée au cours de la semaine environ au cours de laquelle Wiz a exploré la vulnérabilité.

Depuis février 2021, lorsque tous les nouveaux boîtiers Cosmos DB ont été créés avec les fonctions Jupyter Notebook activées, le service Cosmos DB désactivait automatiquement la fonctionnalité Notebook si elle n’était pas utilisée dans les trois premiers jours. C’est pourquoi le nombre de clients Cosmos DB signalé était si faible : environ 70 % des clients ne pas Microsoft a indiqué que Jupyter a été désactivé manuellement ou a été automatiquement désactivé en raison d’un manque d’utilisation.

Malheureusement, cela ne couvre pas vraiment toute la portée de la vulnérabilité. Étant donné que toute instance de Cosmos DB avec Jupyter activé est vulnérable et que la clé primaire n’est pas un secret asymétrique, il est impossible de savoir avec certitude quelles clés ont les instances. Un attaquant avec une cible spécifique pourrait récolter discrètement la clé primaire de cette cible mais ne rien faire d’assez dangereux pour le remarquer (encore).

Nous ne pouvons pas non plus exclure un scénario d’impact plus large, avec un attaquant hypothétique grattant la clé primaire de chaque nouveau scénario Cosmos DB au cours de sa fenêtre de vulnérabilité initiale de trois jours, puis enregistrant ces clés pour une utilisation potentielle ultérieure. Nous sommes d’accord avec Wiz ici – si votre cas peut Cosmos DB jamais si la fonctionnalité de bloc-notes Jupyter est activée, vous devez tourner ses clés immédiatement pour assurer la sécurité à l’avenir.

Réponse de Microsoft

Microsoft a désactivé la vulnérabilité Chaos DB il y a deux semaines – moins de 48 heures après que Wiz l’ait signalée en privé. Malheureusement, Microsoft ne peut pas modifier lui-même les clés primaires de ses clients ; Les clients de Cosmos DB ont le devoir de faire tourner leurs clés.

Selon à Microsoft, il n’y a aucune preuve que des acteurs malveillants aient découvert et exploité Chaos DB avant que Wiz ne soit découvert. Une déclaration par e-mail de Microsoft a déclaré à Bloomberg : « Nous ne savons pas qu’aucune vulnérabilité n’a accès aux données des clients ». En plus d’avertir plus de 3 000 clients des vulnérabilités et de fournir des instructions d’atténuation, Microsoft a versé une prime de 40 000 $ à Wiz.