Microsoft a informé ses clients le jeudi 26 août 2021, dont quelques-unes des plus grandes entreprises du monde, d’une vulnérabilité de sécurité de Cosmos DB, son service vedette de données, qui permet à des personnes malintentionnées de lire, modifier et même effacer leurs bases de données.
Cette vulnérabilité est corrigée, et à en croire Microsoft, rien ne laisse à penser que la vulnérabilité a été exploitée. Si c’était le cas, ce serait un désastre pour Microsoft, qui risquerait de perdre la confiance des grandes organisations.
Des fonctionnalités additionnelles comme un pare-feu auraient empêché l’accès aux données pour nombre de clients.
Le spécialiste de la sécurité Wiz, qui a découvert la faille, et l’a nommée ChaosDB, va recevoir 40 000 dollars de prime à la vulnérabilité.
Son directeur technique, Ami Luttwak, est un ancien directeur technique du Cloud Security Group de Microsoft.
Son équipe de sécurité a découvert le 9 août qu’elle pouvait accéder aux clés de sécurité qui contrôlent l’accès aux bases de données Cosmos DB de tiers, grâce à un outil de visualisation nommé Jupyter Notebook, disponible depuis des années, mais activé par défaut depuis février.
Elle en a informé Microsoft le 12 août, qui neutralisa la vulnérabilité en moins de 48 heures.
Notons que le Jupiter Notebook est un projet en code source ouvert : même si la vulnérabilité ne leur est pas intrinsèquement liée, on ne serait pas étonné que des vulnérabilités de sécurité soient découvertes dans les prochaines semaines sur des services dans le nuage qui les exploitent.
Microsoft recommande à ses clients de générer à nouveau les clés primaires de leurs bases Cosmos DB, en suivant ce guide.
Alors que Microsoft n’aurait averti que les clients affectés pendant la période de recherche, environ une semaine, Wiz pense que tous les clients de Cosmos DB ont été potentiellement affectés, et leur recommande tous de regénérer les clés primaires.