Alors que Tenable a découvert deux failles sérieuses de sécurité dans l’infrastructure sous-jacente d’Azure Synapse Analytics, la plateforme cloud de Microsoft dédiée au machine learning, l’agrégation de données et autres traitements numériques, ce 13 juin, il s’emporte contre “les pratiques de vulnérabilité de Microsoft” et des fournisseurs cloud.
Ces deux failles ont été signalées à Microsoft le 10 mars par les équipes de recherche de Tenable. Une seule d’entre elles a été corrigée, Tenable expliquant que Microsoft a décidé “d’atténuer la gravité de la seconde“, alors que selon eux ces failles “permettent à un utilisateur d’élever ses privilèges au niveau de ceux de l’utilisateur root au sein des machines virtuelles Apache Spark sous-jacentes, ou d’empoisonner le fichier hosts de tous les nœuds d’un pool Apache Spark. Les clés, secrets et services accessibles via ces vulnérabilités ont traditionnellement permis d’autres mouvements latéraux et la compromission de l’infrastructure appartenant à Microsoft, ce qui pourrait potentiellement conduire à une compromission des données d’autres clients comme nous l’avons vu dans plusieurs autres cas récents, tels que ChaosDB de Wiz et SynLapse d’Orca. Microsoft a cependant affirmé que l’accès interlocataires n’est pas possible via ces vecteurs d’attaque.”
Les difficultés liées à la résolution des problèmes de sécurité dans les environnements cloud
Dans ce billet de blog, Tenable explique : “Au cours des derniers jours du processus de divulgation, le Microsoft Security Response Center (MSRC) a commencé à tenter de minimiser la gravité du problème d’escalade de privilèges et l’a classé comme une “recommandation de meilleure pratique” plutôt que comme un problème de sécurité. Malgré des preuves évidentes du contraire, le MSRC a refusé une prime ou un remerciement pour cette découverte. Après avoir été informés de notre intention de publier des informations sur les vulnérabilités, les représentants de Microsoft sont revenus sur leur décision antérieure, classant ces problèmes comme étant liés à la sécurité, ce qui démontre un manque évident de communication entre les équipes impliquées au sein de Microsoft“.
“Ces failles et les interactions de nos chercheurs avec Microsoft démontrent les difficultés liées à la résolution des problèmes de sécurité dans les environnements cloud. L’ensemble du processus échappe largement au contrôle du client. Les clients sont entièrement redevables aux fournisseurs de services cloud pour la résolution des problèmes signalés. La bonne nouvelle, cependant, est qu’une fois qu’un problème est résolu, il est résolu. Les clients n’ont généralement aucune action à entreprendre puisque tout se passe en coulisses. La mauvaise nouvelle, en revanche, est que les fournisseurs de services cloud signalent rarement l’existence d’une faille de sécurité.”
Amit Yoran, le CEO de Tenable et ancien directeur de la cybersécurité du Département de défense américain, a lui-même publié sur Linkedin un post intitulée “Microsoft’s Vulnerability Practices Put Customers At Risk” pointant du doigt l’attitude de Microsoft et plus largement des fournisseurs de services cloud vis-à-vis de la gestion et de la divulgation des failles de sécurité. Selon lui, cette attitude met “les consommateurs en danger.” Son post est illustré par un homme se bouchant les yeux, les oreilles et la bouche.
