Les problèmes d’Azure persistent pendant des mois, se plaignent des chercheurs de failles • The Register

Actualisé Deux fournisseurs de sécurité – Orca Security et Tenable – ont accusé Microsoft de mettre inutilement en danger les données et les environnements cloud des clients en prenant beaucoup trop de temps pour corriger les vulnérabilités critiques dans Azure.

Dans un blog publié aujourd’hui, le chercheur d’Orca Security, Tzah Pahima, a affirmé qu’il avait fallu plusieurs mois à Microsoft pour résoudre complètement une faille de sécurité dans Synapse Analytics d’Azure qu’il avait découverte en janvier.

Et dans un blog séparé publié lundi, le PDG de Tenable, Amit Yoran, a appelé Redmond pour son manque de réponse – et de transparence autour – de deux autres vulnérabilités qui pourraient être exploitées par quiconque utilisant Azure Synapse.

Route longue et sinueuse

L’histoire d’Orca commence le 4 janvier, lorsque Pahima a signalé un bogue qu’il a nommé SynLapse.

Cette faille, qui a reçu un score de gravité de 7,8 et est suivie comme CVE-2022-29972, pourrait permettre à un attaquant distant de contourner la séparation des locataires dans le service d’analyse de données pour accéder et contrôler les espaces de travail d’autres clients. En plus de voler des informations d’identification, les malfaiteurs pourraient également exploiter cette vulnérabilité pour divulguer des données sensibles stockées dans les services cloud, notamment les clés Azure, les jetons d’API et les mots de passe.

Microsoft a alerté les clients et publié un correctif en mars, mais les chasseurs de bogues d’Orca l’ont contourné et ont informé Microsoft le 30 mars.

En avril, 90 jours après avoir divulgué la faille de sécurité, Orca a déclaré avoir informé Microsoft que les clés et les certificats étaient toujours valides et que ses chercheurs en sécurité avaient toujours accès au serveur de gestion Synapse.

Microsoft a corrigé le contournement le 10 avril, mais Orca a de nouveau fait exploser le correctif et a informé Redmond que son service d’analyse restait vulnérable.

Microsoft et Orca ont publié des blogs ultérieurs en mai, Redmond insistant sur le fait qu’il avait atténué la faille et Orca affirmant que la séparation des locataires dans Synapse restait insuffisante pour protéger les secrets.

Ce qui nous amène à cette semaine. Plusieurs correctifs plus tard, et avec la menace imminente de l’analyse technique d’Orca qui sera bientôt publiée, Microsoft aurait déclaré lundi à Orca qu’il avait corrigé la faiblesse de l’infrastructure – cette fois, pour de vrai.

Le registre n’a pas vu l’atténuation de Microsoft. “Microsoft nous a contactés aujourd’hui et nous a fait savoir qu’ils avaient mis en place des correctifs plus robustes pour les problèmes”, a déclaré lundi le directeur technique d’Orca, Yoav Alon, ajoutant que l’équipe de recherche n’avait pas eu le temps de valider les correctifs.

On nous dit que fin mai, Microsoft a déployé une isolation plus complète des locataires, qui comprenait des instances éphémères et des jetons étendus pour les Azure Integration Runtimes partagés.

“Modèle de comportement répété”

Au moment de mettre sous presse, Redmond n’avait pas répondu à Le registredemande de voir les informations fournies à Orca. Microsoft a également ignoré les demandes de commentaires sur les blogs des PDG d’Orca et de Tenable, et son équipe de sécurité n’a pas répondu aux questions sur les raisons pour lesquelles les bogues Synapse ont mis si longtemps à être corrigés.

Le message du PDG de Tenable détaille la réponse de Microsoft à une faille d’escalade de privilèges qui, selon les chercheurs, pourrait être exploitée par toute personne utilisant Azure Synapse.

Microsoft, selon Yoran, “a corrigé en silence” l’un des bogues et “a reconnu en privé la gravité” des failles de sécurité 89 jours après que Tenable les a divulguées – et seulement après que Tenable a déclaré qu’il rendait public la preuve de concept de l’exploit .

“Il s’agit d’un comportement répété”, a écrit Yoran.

“Plusieurs sociétés de sécurité ont écrit sur leurs interactions de notification de vulnérabilité avec Microsoft et sur l’attitude dédaigneuse de Microsoft à l’égard du risque que les vulnérabilités présentent pour leurs clients”, a-t-il ajouté, citant la recherche de vulnérabilité Synapse d’Orca ainsi que des récits similaires de Wiz, Positive Security et Fortinet. l’exploit Follina zero day.

Dans une interview avec Le registre, Avi Shua, PDG d’Orca, et Yoav Alon, directeur technique, ont déclaré que les chercheurs de l’atelier de sécurité cloud cherchaient toujours des vulnérabilités dans les environnements cloud. La plupart du temps, après que l’équipe d’Orca a révélé les bugs, les fournisseurs de services cloud les corrigent rapidement – “avec le plus haut niveau de sérieux que vous puissiez imaginer”, a déclaré Shua.

Shua a noté deux vulnérabilités antérieures que l’équipe Orca a trouvées dans AWS Glue et AWS Cloud Formation. Amazon a réparé les deux en 25 heures environ.

“Malheureusement, cette fois, c’était un peu différent”, a-t-il déclaré, ajoutant qu’il devait faire remonter le bogue au niveau EVP avant que quiconque chez Microsoft n’y prête attention.

“Tout le monde a des vulnérabilités”, a poursuivi Shua. “Nous le savons. Mais plus vous êtes grand et important dans l’écosystème, et plus votre entreprise a d’impact, la question de la rapidité avec laquelle vous êtes en mesure de les atténuer est l’élément le plus important.”

En d’autres termes : Microsoft, en tant que deuxième fournisseur de cloud, est presque aussi grand qu’il n’y paraît. “Pourquoi a-t-il fallu cinq mois à Microsoft pour atténuer une vulnérabilité dans un service principal d’Azure ? Il n’a pas encore été répondu”, a déploré Shua.

90 jours? Ou cinq mois ?

L’industrie de la sécurité dans son ensemble a convenu d’un calendrier de divulgation responsable de 90 jours, a déclaré Shua, notant que cela devrait donner aux éditeurs de logiciels suffisamment de temps pour travailler avec les chercheurs en sécurité, résoudre le problème et protéger les clients avant une divulgation publique complète.

Mais ce délai mutuellement convenu est antérieur au cloud, “et on peut affirmer qu’il devrait être beaucoup plus court que 90 jours”, a déclaré Shua. “Nous avons vu qu’AWS était capable de déployer [patches] dans un jour ou deux.”

Quoi qu’il en soit, en ce qui concerne les failles critiques de séparation des locataires dans Azure Synapse de Microsoft, “nous parlons d’environ cinq mois”, a-t-il noté.

Ceci est particulièrement dangereux car, comme Microsoft l’a admis dans son blog May Patch Tuesday, le code d’exploitation divulgué publiquement pour ce bogue existe déjà. De plus, selon Alon d’Orca, ce n’est pas très difficile à exploiter.

Lorsqu’on lui a demandé à quel point un attaquant devait être techniquement sophistiqué pour exploiter le bogue RCE et accéder aux environnements Azure d’autres clients, Alon a répondu : “Malheureusement, pas très sophistiqué. Je le classerais comme moyen.”

Dans une vidéo, Orca a démontré comment un criminel pouvait divulguer les informations d’identification d’une victime saisies dans Synapse en ne sachant rien d’autre que le nom d’une instance Synapse.

Les clients devraient exiger la transparence de leurs fournisseurs de cloud, a déclaré Shua. “C’est essentiel”, a-t-il ajouté. “Des vulnérabilités existeront à l’avenir, et nous ne pouvons rien faire pour les empêcher. Mais la question est : à quelle vitesse a-t-elle été corrigée ? Quelle est la surface d’attaque ? Comment a-t-elle été atténuée, et le temps en est une partie importante. ” ®

Mis à jour pour ajouter

“Nous sommes profondément attachés à la protection de nos clients et nous pensons que la sécurité est un sport d’équipe”, a déclaré un porte-parole de Microsoft. Le registre

“Nous apprécions nos partenariats avec la communauté de la sécurité, qui permettent à notre travail de protéger les clients. La publication d’une mise à jour de sécurité est un équilibre entre qualité et rapidité, et nous considérons la nécessité de minimiser les interruptions des clients tout en améliorant la protection.”

Leave a Comment

Your email address will not be published.