Quelques heures après une réunion avec le président des Etats-Unis sur la stratégie pour renforcer la cybersécurité, Microsoft vient d’envoyer un courrier à plusieurs milliers de clients pour les alerter de la découverte d’un bug dans CosmoDB sur Azure. Cette brèche a été trouvée par la société Wizz, spécialisée dans la sécurité des infrastructures cloud, dont le CTO Ami Luttwal est un ancien responsable du Cloud Security Group de Microsoft.
Dans un blog, la vulnérabilité est nommée ChaosDB et permet de dérober les clés primaires des bases de données CosmoDB. Celles-ci sont considérées comme « le saint Graal pour les attaquants » soulignent les chercheurs de Wiz en accordant la capacité de lire, écrire et supprimer les accès aux données clients. Le problème provient de la fonction de data visualisation intégrée en 2019 via Jupyter Notebook. Elle a été étendue à l’ensemble de bases CosmoDB en février 2021. Or « une série de mauvaises configurations » de cette fonction peut entrainer une élévation de privilège et accéder aux clés primaires, ainsi qu’à d’autres données sensibles.
Microsoft désactive en urgence Jupyter Notebook
Les chercheurs n’ont pas voulu donner plus de détails sur leur manière de procéder, mais ils devraient le faire prochainement. Ils indiquent avoir répété leur exploit auprès de milliers de clients dans 30 régions différentes, avec le même résultat. Avertie, l’équipe de sécurité de Microsoft a réagi rapidement en déactivant la fonctionnalité Jupyter Notebook. Mais Wiz précise que les clients peuvent toujours être vulnérables, car leurs clés d’accés primaires ont été exposées. Cependant, la firme de Redmond indique dans un mail envoyé aux clients concernés « nous n’avons aucune indication que des entités autres que les chercheurs aient eu accès aux clés primaires ».
Jamais trop prudent, Wiz demande aussi à ses clients utilisant Jupyter Notebook dans CosmoDB de le désactiver. Pour la découverte de ce bug, Microsoft a versé une prime de 40 000 dollars aux équipes de la start-up. Cette affaire n’est pas sans rappeler celle du début de semaine où une mauvaise configuration dans Power Apps a exposé 38 millions de données personnelles de plusieurs grands clients.