Des milliers de clients Azure de Microsoft ont été alertés au sujet d'une vulnérabilité de sécurité. En l'occurrence, plus de 3 300 entreprises ayant recours à Azure Cosmos DB qui est présenté comme un service de base de données NoSQL managé pour le développement d'applications.
Microsoft indique avoir corrigé la vulnérabilité et précise qu'il n'y a aucune preuve d'une exploitation par des acteurs malveillants. " Nous n'avons pas connaissance d'un accès aux données des clients à cause de cette vulnérabilité. "
Pour la société de cybersécurité Wiz à l'origine de la découverte du problème, la faille surnommée ChaosDB (avec son site dédié de rigueur) est " une vulnérabilité critique sans précédent dans la plateforme cloud Azure qui permet une prise de contrôle à distance de sa base de données phare. "
Signalée à Microsoft ce mois-ci, Wiz explique que la vulnérabilité donne à n'importe quel utilisateur Azure un accès administrateur complet aux instances Cosmos DB d'un autre client sans autorisation. " L'exploitation de cette vulnérabilité est triviale et ne nécessite pas d'accès préalable à l'environnement cible. Elle affecte des milliers d'organisations, dont de nombreuses sociétés du classement Fortune 500. "
La vulnérabilité a été introduite en 2019 avec l'ajout par Microsoft d'une fonctionnalité Jupyter Notebook à Cosmos DB pour permettre aux clients de visualiser de manière graphique leurs données. Cette fonctionnalité a été activée par défaut pour tous en février 2021.
Wiz souligne la réactivité de Microsoft qui a désactivé la fonctionnalité vulnérable dans les 48 heures après signalement. Toutefois, la faille a été exploitable de longue date. " Tous les clients de Cosmos DB doivent partir du principe qu'ils ont été exposés. "
Les clients touchés doivent modifier manuellement les clés d'accès des bases de données via la création de nouvelles. Microsoft leur a envoyé des instructions en ce sens.
