Support technique
Documentation
Connexion
Nous contacter
Un bogue dans EmojiDeploy permet le RCE dans les services Microsoft Azure
Le 3 février 2023 - L'équipe de relations publiques de TuxCare
Les chercheurs d'Ermetic ont découvert EmojiDeploy, un bug de cross-site request forgery (CSRF) dans les services Microsoft Azure qui pourrait permettre aux attaquants d'exécuter du code à distance sur les systèmes affectés.
Selon le billet de blog de l'entreprise, la vulnérabilité se situe dans la manière dont est géré le processus d'authentification d'Azure pour ses services. Un attaquant pourrait potentiellement inciter un utilisateur à effectuer des actions en son nom, telles que l'exécution de code ou l'accès à des informations sensibles, en exploitant le bug CSRF.
La faille a été découverte lors d'un test de pénétration et signalée à Microsoft via son programme de primes aux bugs. Microsoft a depuis publié un correctif pour résoudre le problème.
Le bogue a été découvert en manipulant une série de mauvaises configurations et de contournements de sécurité dans Kudu, un outil de gestion du contrôle des sources (SCM) back-end utilisé par des services majeurs tels que Azure Functions, Azure App Service et Azure Logic Apps.
EmojiDeploy est le nom donné au bogue parce que Kudu est configuré par défaut d'une manière qui le rend vulnérable aux forgeries de requêtes intersites. Cela permettrait à un acteur de créer un enregistrement de système de nom de domaine malveillant qui, en utilisant des caractères spéciaux, pourrait contourner les contrôles d'origine d'un serveur SCM. Les caractères spéciaux utilisés par les chercheurs d'Ermetic pour contourner ces contrôles et les contrôles de sécurité dans ce cas étaient "._.", qui ressemble à un emoji.
L'attaquant doit ensuite localiser un point d'extrémité vulnérable afin de déployer un fichier zip malveillant via un navigateur. L'attaquant peut exécuter du code et des commandes en tant qu'utilisateur www, voler ou supprimer des données sensibles, prendre le contrôle de l'identité gérée de l'application, effectuer un mouvement latéral sur d'autres services Azure et faciliter de futures campagnes de phishing en un seul clic.
Selon les chercheurs d'Ermetic, cette vulnérabilité pourrait avoir de graves conséquences pour les organisations qui utilisent les services Azure, car elle pourrait permettre aux attaquants de prendre le contrôle de systèmes entiers et de voler des données sensibles. Ils préviennent également que la faille pourrait être particulièrement dangereuse pour les organisations qui utilisent Azure pour gérer des infrastructures critiques ou des données sensibles.
"Cette vulnérabilité souligne la nécessité pour les organisations d'être vigilantes dans la protection de leurs systèmes et de mettre en place des mesures de sécurité robustes", a déclaré le PDG d'Ermetic, Assaf Harel. "Elle rappelle également que même les entreprises les plus réputées ne sont pas à l'abri des failles de sécurité."
Microsoft a publié une déclaration indiquant qu'elle est consciente de la vulnérabilité et qu'elle a travaillé à la corriger. L'entreprise a également déclaré qu'elle n'avait pas vu de preuve de l'exploitation de cette vulnérabilité dans la nature. L'entreprise recommande à ses clients d'appliquer le correctif dès que possible et de continuer à surveiller leurs systèmes pour détecter toute activité suspecte.
Les sources de cet article comprennent un article de SCMagazine.
