Des chercheurs en sécurité d'Ermetic ont découvert fin 2022 une faille affectant les services cloud Azure ainsi que Function Apps, App Service et Logic Apps. De type supply chain, celle-ci aurait pu déboucher sur de l'exécution de code à distance jusqu'à une prise en main complète d'une application cible avec tout ce que cela implique (suppression de données sensibles, exécution de campagnes de phishing, déplacement latéral vers d'autres services Azure....).
En abusant de la vulnérabilité, les attaquants auraient pu déployer des fichiers zip malveillants contenant une charge utile dans l'application Azure de la victime, a expliqué Ermetic. « la faille EmojiDeploy passe par CSRF (Cross-site request forgery) sur le service Kudu SCM. Ce service commun de gestion du code source sous-tend de nombreux services Azure majeurs dont Functions, App Service, Logic Apps, etc.
Une vulnérabilité signalée en octobre 2022 à Microsoft
La faille EmojiDeploy a été entièrement corrigée depuis sa découverte et a donc été rendue publique ce 19 janvier 2023. Dans le détail, le 26 octobre 2022, l'équipe de recherche Ermetic a signalé la brèche à l'équipe de sécurité de Microsoft en charge de la détection des menaces qui lui a apporté une réponse début novembre, avant en décembre de lui attribuer une prime de 30 000 $. Après un correctif publié dans la foulée, Ermerci a publié tous les détails de cette dangereuse attaque supply chain.