Microsoft est de plus en plus blâmé pour ce que les critiques qualifient de manque de transparence et de rapidité adéquate lorsqu’il répond aux signalements de vulnérabilités menaçant ses clients, ont déclaré des professionnels de la sécurité.
Le dernier échec de Microsoft a été révélé mardi dans un article qui montrait que Microsoft prenait cinq mois et trois correctifs avant de corriger avec succès une vulnérabilité critique dans Azure. Orca Security a informé Microsoft pour la première fois début janvier de la faille, qui résidait dans le composant Synapse Analytics du service cloud et affectait également Azure Data Factory. Il a donné à toute personne disposant d’un compte Azure la possibilité d’accéder aux ressources d’autres clients.
À partir de là, a déclaré Tzah Pahima, chercheur chez Orca Security, un attaquant pourrait :
- Obtenez une autorisation dans d’autres comptes clients tout en agissant comme leur espace de travail Synapse. Nous aurions pu accéder à encore plus de ressources dans le compte d’un client en fonction de la configuration.
- Fuite les informations d’identification des clients stockées dans leur espace de travail Synapse.
- Communiquez avec les environnements d’exécution d’intégration d’autres clients. Nous pourrions en tirer parti pour exécuter du code à distance (RCE) sur les runtimes d’intégration de n’importe quel client.
- Prenez le contrôle du pool de lots Azure en gérant tous les runtimes d’intégration partagés. Nous pourrions exécuter du code sur chaque instance.
La troisième fois est le charme
Malgré l’urgence de la vulnérabilité, les intervenants de Microsoft ont été lents à saisir sa gravité, a déclaré Pahima. Microsoft a bâclé les deux premiers correctifs, et ce n’est que mardi que Microsoft a publié une mise à jour qui a entièrement corrigé la faille. Un calendrier fourni par Pahima montre à quel point il a fallu du temps et du travail à son entreprise pour guider Microsoft tout au long du processus de correction.
- 4 janvier – L’équipe de recherche d’Orca Security a révélé la vulnérabilité au Microsoft Security Response Center (MSRC), ainsi que les clés et les certificats que nous avons pu extraire.
- 19 février et 4 mars – MSRC a demandé des détails supplémentaires pour faciliter son enquête. A chaque fois, nous avons répondu le lendemain.
- Fin mars – MSRC a déployé le correctif initial.
- 30 mars – Orca a pu contourner le patch. Synapse restait vulnérable.
- 31 mars – Azure nous accorde 60 000 $ pour notre découverte.
- 4 avril (90 jours après la divulgation) – Orca Security informe Microsoft que les clés et les certificats sont toujours valides. Orca avait toujours accès au serveur de gestion Synapse.
- 7 avril – Orca a rencontré le MSRC pour clarifier les implications de la vulnérabilité et les étapes nécessaires pour la corriger dans son intégralité.
- 10 avril – MSRC corrige le contournement et révoque enfin le certificat du serveur de gestion Synapse. Orca a pu contourner le patch encore une fois. Synapse restait vulnérable.
- 15 avril – MSRC déploie le 3e correctif, corrigeant le RCE et les vecteurs d’attaque signalés.
- 9 mai – Orca Security et MSRC publient des blogs décrivant la vulnérabilité, les mesures d’atténuation et les recommandations pour les clients.
- Fin mai – Microsoft déploie une isolation plus complète des locataires, y compris des instances éphémères et des jetons étendus pour les runtimes d’intégration Azure partagés.
Correction silencieuse, pas de notification
Le compte est arrivé 24 heures après que la société de sécurité Tenable a raconté une histoire similaire selon laquelle Microsoft n’a pas réussi à corriger de manière transparente les vulnérabilités qui impliquaient également Azure Synapse. Dans un article intitulé Les pratiques de vulnérabilité de Microsoft mettent les clients en danger, le président-directeur général de Tenable, Amit Yoran, s’est plaint d’un « manque de transparence en matière de cybersécurité » dont Microsoft a fait preuve un jour avant la levée de l’embargo de 90 jours sur les vulnérabilités critiques que son entreprise avait signalées en privé.
Il a écrit:
Ces deux vulnérabilités étaient exploitables par toute personne utilisant le service Azure Synapse. Après avoir évalué la situation, Microsoft a décidé de corriger en silence l’un des problèmes, minimisant ainsi le risque. Ce n’est qu’après avoir appris que nous allions rendre public que leur histoire a changé… 89 jours après la notification de vulnérabilité initiale… lorsqu’ils ont reconnu en privé la gravité du problème de sécurité. À ce jour, les clients de Microsoft n’ont pas été informés.
Tenable a des détails techniques ici.
Les critiques ont également appelé Microsoft pour ne pas avoir corrigé une vulnérabilité critique de Windows appelée Follina jusqu’à ce qu’elle soit activement exploitée dans la nature pendant plus de sept semaines. La méthode d’exploit a été décrite pour la première fois dans un article universitaire de 2020. Puis en avril, des chercheurs du Shadow Chaser Group ont déclaré sur Twitter qu’ils avaient signalé à Microsoft que Follina était exploité dans une campagne de spam malveillant en cours et ont même inclus le fichier d’exploitation utilisé dans la campagne.
Pour des raisons que Microsoft n’a pas encore expliquées, la société n’a déclaré le comportement signalé comme une vulnérabilité qu’il y a deux semaines et n’a publié de correctif officiel que mardi.
De son côté, Microsoft défend ses pratiques et a fourni ce billet détaillant le travail de correction de la vulnérabilité Azure découverte par Orca Security.
Dans un communiqué, les responsables de l’entreprise ont écrit : « Nous sommes profondément attachés à la protection de nos clients et nous pensons que la sécurité est un sport d’équipe. Nous apprécions nos partenariats avec la communauté de la sécurité, ce qui permet à notre travail de protéger les clients. La publication d’une mise à jour de sécurité est un équilibre entre la qualité et la rapidité, et nous considérons la nécessité de minimiser les perturbations des clients tout en améliorant la protection. »