Depuis le 10 mars, Tenable Research a tenté de collaborer avec
Microsoft pour corriger deux graves failles dans l’infrastructure
sous-jacente d’Azure Synapse Analytics, la plateforme utilisée pour le
machine learning, l’agrégation de données et traitements numériques.
Ce service figure actuellement dans la liste des scénarios à fort
impact du programme Azure Bug Bounty de Microsoft et selon Microsoft les
produits et scenarii qui le composent ont "l’impact potentiel le plus
élevé sur la sécurité des clients."

Tenable Research a découvert deux failles graves dans l’infrastructure
sous-jacente sur laquelle fonctionne ce service. Ces failles permettent
à un utilisateur d’élever ses privilèges au niveau de ceux de
l’utilisateur root au sein des machines virtuelles Apache Spark
sous-jacentes, ou d’empoisonner le fichier hosts de tous les nœuds d’un
pool Apache Spark. Les clés, secrets et services accessibles via ces
vulnérabilités ont traditionnellement permis d’autres mouvements
latéraux et la compromission de l’infrastructure appartenant à
Microsoft, ce qui pourrait potentiellement conduire à une compromission
des données d’autres clients comme nous l’avons vu dans plusieurs
autres cas récents, tels que ChaosDB de Wiz et SynLapse d’Orca.
Microsoft a cependant affirmé que l’accès interlocataires n’est pas
possible via ces vecteurs d’attaque.

Tenable a signalé ces problèmes à Microsoft le 10 mars 2022.
Microsoft a commencé à déployer un correctif pour le problème
d’escalade de privilèges dès le 30 avril 2022. À l’heure actuelle,
Tenable pense que le correctif a été déployé avec succès dans
toutes les régions. Aucune action n’est requise de la part des
utilisateurs finaux afin de s’assurer que leurs environnements ne sont
plus affectés. L’attaque par empoisonnement du fichier hosts n’est
toujours pas corrigée à l’heure où nous écrivons ces lignes. En
raison de la nature de ces vulnérabilités et du processus de
divulgation, nous ne disposons pas de numéros de référence CVE pour
celles-ci.

Au cours du processus de divulgation, les représentants de Microsoft
ont semblé initialement convenir qu’il s’agissait de problèmes
critiques. Microsoft a développé et mis en œuvre un correctif pour
l’escalade de privilèges sans autre information de Tenable Research. Au
cours des derniers jours du processus de divulgation, le Microsoft
Security Response Center (MSRC) a commencé à tenter de minimiser la
gravité du problème d’escalade de privilèges et l’a classé comme une
" recommandation de meilleure pratique " plutôt que comme un problème
de sécurité. Malgré des preuves évidentes du contraire, le MSRC a
refusé une prime ou un remerciement pour cette découverte. Après
avoir été informés de notre intention de publier des informations sur
les vulnérabilités, les représentants de Microsoft sont revenus sur
leur décision antérieure, classant ces problèmes comme étant liés
à la sécurité, ce qui démontre un manque évident de communication
entre les équipes impliquées au sein de Microsoft.

Ces failles et les interactions de nos chercheurs avec Microsoft
démontrent les difficultés liées à la résolution des problèmes de
sécurité dans les environnements cloudL’ensemble du processus échappe
largement au contrôle du client. Les clients sont entièrement
redevables aux fournisseurs de services cloud pour la résolution des
problèmes signalés. La bonne nouvelle, cependant, est qu’une fois
qu’un problème est résolu, il est résolu. Les clients n’ont
généralement aucune action à entreprendre puisque tout se passe en
coulisses. La mauvaise nouvelle, en revanche, est que les fournisseurs
de services cloud signalent rarement l’existence d’une faille de
sécurité.