Des milliers de clients Microsoft Azure vulnérables à une faille de sécurité dans Cosmos DB

Azure Cosmos DB, un type de base de données NoSQL globale et distribuée développée par Microsoft, contenait une faille de sécurité importante, rapporte Wiz, une entreprise israélienne spécialisée dans la découverte de vulnérabilités dans le cloud public, dans un billet de blog publié le 26 août 2021.

Le problème a été immédiatement corrigé, promet Microsoft qui a envoyé un email pour avertir ses clients que la faille ne semblait pas avoir été exploitée. La société américaine a versé 40 000 dollars (environ 34 000 euros) à Wiz pour avoir découvert la faille et l'avoir signalée.

Asos, coca cola, siemens, symantec... 
Cette vulnérabilité, baptisée "Chaos DB", a été découverte il y a deux semaines mais Wiz, dont l'équipe technique est dirigée par un ancien responsable de sécurité de Microsoft, affirme qu'elle se cachait dans le système depuis "au moins plusieurs mois, voire des années". Elle aurait pu permettre à des cybercriminels de dérober des données de "plusieurs milliers" d'entreprises utilisatrices de Cosmos DB, telles que Coca-Cola, Asos, Siemens Healthineers, Symantec, Bentley, Skype, Exon Mobil, Finastra…

Dans les détails, c'est une mauvaise configuration de la fonctionnalité open source "Jupyter Notebook", ajoutée dans Cosmos DB par Microsoft en 2019, qui était concernée. Les Jupyter Notebooks sont des sortes de cahiers informatiques offrant la possibilité aux développeurs de partager du code et de l'exécuter dans la même interface utilisateur.

La faille de sécurité offrait de nombreuses possibilités à des acteurs malveillants, qui pouvaient facilement accéder aux clés primaires des utilisateurs de Cosmos DB. Ces dernières accordent les autorisations de lecture, d'écriture et de suppression sur l'ensemble de la base de données à laquelle la clé est rattachée.

30% des clients alertés 
Microsoft a donc invité 30% des utilisateurs de Cosmos DB, soit 3000 clients, à modifier leurs clés qui, précision importante, n'ont pas de date d'expiration. Il s'agit des clients qui ont activé la fonctionnalité Jupyter Notebook dans la semaine au cours de laquelle Wiz à découvert la faille de sécurité. Ce qui n'est pas suffisant, d'après la société israélienne, car "chaque compte Cosmos DB qui utilise la fonction de Jupyter Notebook, ou qui a été créé après janvier 2021, est potentiellement à risque".

En effet, à partir de février, cette fonctionnalité était activée par défaut pour chaque compte Cosmos DB nouvellement créé. Ainsi, la clé primaire aurait pu être exposée même si le client n'était pas au courant et n'a jamais utilisé la fonctionnalité.

Ce nouvel incident de sécurité intervient quelques mois après l'affaire Microsoft Exchange. Un groupe de hackers, baptisé Hafnium, ciblait ce logiciel de messagerie utilisé par de nombreuses organisations et entreprises dans le monde. Cette cyberattaque a par exemple touché l'Agence bancaire européenne (ABE), en charge de la stabilité financière au sein de l'Union européenne.