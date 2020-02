Les chercheurs en sécurité de Check Point ont identifié deux failles de sécurité majeures dans Microsoft Azure qui pourraient être exploitées par des pirates informatiques pour accéder à des informations sensibles stockées sur des machines exécutant Azure ou pour reprendre des serveurs Azure.

La première faille de sécurité a été découverte dans Azure Stack et, si elle était exploitée, elle permettrait à un pirate d’accéder à des captures d’écran et à d’autres informations sensibles à partir de machines exécutant Azure.

Azure stack est une solution logicielle de cloud computing développée par Microsoft pour permettre aux entreprises de fournir des services Azure à partir de leurs propres centres de données. Le géant du logiciel a créé Azure Stack comme moyen d’aider les organisations à adopter le cloud computing hybride à leurs propres conditions tout en étant en mesure de répondre aux considérations commerciales et techniques.

Les chercheurs de Check Point ont pu prendre des captures d’écran et collecter des informations sensibles sur les locataires Azure et les machines d’infrastructure en exploitant la faille. Cependant, pour qu’un pirate puisse profiter de la faille, il devrait d’abord avoir accès au portail Azure Stack qui lui permettrait d’envoyer des demandes HTTP non authentifiées.

Faille de l’application Azure

La faille Azure App découverte par Check Point aurait permis à un pirate de prendre le contrôle de l’ensemble d’un serveur Azure et, par conséquent, du code d’entreprise d’une entreprise.

Azure App Service est une plate-forme en tant que service (PaaS) entièrement gérée qui intègre les sites Web Microsoft Azure et d’autres services en un seul service tout en ajoutant de nouvelles fonctionnalités qui permettent l’intégration avec des systèmes sur site ou cloud.

Les chercheurs de Check Point ont pu prouver qu’un pirate pouvait compromettre les applications, les données et les comptes des locataires en créant un utilisateur gratuit dans Azure Cloud et en exécutant des fonctions Azure malveillantes.

La société de sécurité a révélé les failles à Microsoft et, ensemble, les deux ont travaillé en étroite collaboration pour résoudre les problèmes. Des correctifs complets pour les deux failles de sécurité ont été publiés à la fin de l’année dernière pour éviter qu’ils ne soient exploités par des pirates.

