Avalanches de failles de sécurité chez Microsoft. Une série de vulnérabilités, OMIGOD, a été découverte dans le service cloud Microsoft Azure. Révélée début septembre, il s’agit de la deuxième en deux mois. Ces deux failles sont qualifiées de « majeures » et « dangereuses » par les chercheurs en sécurité de Wiz, qui les ont dévoilées.

La première des deux vulnérabilités, Chaos DB, a été dévoilée fin août. Elle permet à un pirate d’accéder à n’importe quelle base de données client. La seconde, surnommée OMIGOD, concerne un service peu connu, Open Management Infrastructure (OMI), intégré à bon nombre de services populaires d’Azure.

Microsoft face à la « pire vulnérabilité cloud »

Au moment de la découverte de Chaos DB, le directeur technique de Wiz parlait de « pire vulnérabilité cloud que vous puissiez imaginer », lors d’une interview avec Ars Technica. Chaos DB donne aux pirates informatiques un « accès complet et illimité » aux comptes et aux bases de données des milliers d’entreprises et organisations, utilisant Cosmos DB.

En plus de l’accès aux données, Chaos DB permet de télécharger, supprimer mais aussi manipuler les bases de données. À cela s’ajoute la possibilité d’obtenir « un accès en lecture/écriture à l’architecture sous-jacente de Cosmos DB », explique Wiz. Concrètement, un pirate peut accéder aux données d’une entreprise, les modifier ou les supprimer. Cela peut rapidement devenir dangereux, y compris pour les particuliers. Par exemple, le processus de fabrication d’un médicament peut très bien être altéré et falsifié.

OMIGOD, une série de « vulnérabilités alarmantes »

Les nouvelles vulnérabilités, regroupées sous le nom de OMIGOD, se révèlent tout aussi graves que Chaos DB. Elles touchent l’agent logiciel OMI. Ce dernier est un serveur de gestion CIM (Common Information Model) open source. « Il permet aux utilisateurs de gérer les configurations dans des environnements distants et locaux et de collecter des statistiques », explique Wiz. Au total, ce sont près de 4 failles qui ont été mises à nu par les chercheurs de Wiz.

GIF illustrant une attaque via les vulnérabilités OMIGOD touchants Microsoft Azure

Grâce à l’utilisation d’un serveur HTTP, un pirate peut facilement passer par OMI pour entrer dans une machine virtuelle. GIF : Wiz.

OMI est peu connu, mais est présent sur une grande partie des machines virtuelles Linux dans Azure. Les vulnérabilités du logiciel seraient « très faciles à exploiter », d’après les chercheurs. Un attaquant pourrait obtenir un accès root, c’est-à-dire un accès d’utilisateurs privilégié, ayant les mêmes droits qu’un administrateur ou un développeur. Il lui suffirait pour cela d’exécuter un simple code dans le réseau et à distance.

« Il s’agit d’une vulnérabilité que vous vous attendriez à voir dans les années 90. Il est très inhabituel d’en avoir une en 2021 qui puisse exposer des millions de points de terminaison », affirme Nir Ohfeld, chercheur en sécurité chez Wiz. Parmi les services Azure concernés utilisant beaucoup OMI, se trouvent notamment Azure Log Analytics , Azure Diagnostics et Azure Security Center.

65% des clients « exposés à ces vulnérabilités »

Une personne qui attaque une machine peut en modifier profondément les paramètres et le fonctionnement, selon la faille utilisée. Concrètement, lorsque OMI utilise un serveur web HTTP sur le port logiciel 5986, un attaquant peut obtenir les privilèges d’un utilisateur root à distance. Un port logiciel permet de distinguer les différents programmes informatiques d’un ordinateur. Au total, Wiz a découvert que 65% des clients Azure utilisant Linux « étaient exposés à ces vulnérabilités et à ces risques sans le savoir ».

Avec une telle attaque sur une machine virtuelle, un pirate aurait la possibilité d’exécuter n’importe quelle commande. Sur une machine virtuelle du réseau local d’Azure, le hacker pourrait également atteindre toutes les autres machines de cette partie de réseau.

Une réaction à deux vitesses de Microsoft

Avec Chaos DB, l’entreprise américaine a rapidement réagi. Elle a désactivé la fonctionnalité responsable de la faille, et a également expliqué sur son site comment sécuriser l’accès à Cosmos DB.
Pour les vulnérabilités OMIGOD, sa réaction a été plus retorse. OMI étant en open source, Redmond a commencé par réfuter une quelconque responsabilité. Toutefois, difficile pour elle de tenir une telle position, Microsoft étant l’auteur, et l’installant automatiquement sur certains services Azure.

La multinationale a cédé, indemnisé Wiz, et transmis un correctif à OMI. Cette nouvelle découverte fait frémir les chercheurs, puisqu’elle montre la fragilité de l’un des services cloud les plus importants au monde. De quoi inquiéter, à l’heure où de plus en plus d’entreprises et d’organisations y stockent leurs données.