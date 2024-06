Tenable Research découvre une vulnérabilité de haute gravité dans Microsoft Azure La vulnérabilité affecte plus de 10 services Azure et ne sera pas corrigée

juin 2024 par Tenable

Tenable - la société de gestion de l’exposition au risque cyber - a révélé que son équipe Tenable Cloud Research a découvert une vulnérabilité de haute sévérité dans Azure qui affecte plus de 10 services Azure, Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure API Management et Azure Logic Apps.

Microsoft ne prévoit pas de publier un correctif pour cette vulnérabilité. Au lieu de cela, elle a créé une documentation centralisée pour informer les clients sur les schémas d’utilisation des balises de service.

La vulnérabilité permet à un attaquant malveillant de contourner les règles de pare-feu basées sur les balises de service Azure en falsifiant les requêtes des services de confiance. Un acteur malveillant pourrait exploiter les balises de service qui ont été autorisées à travers le pare-feu d’un utilisateur s’il n’y a pas de contrôles de validation supplémentaires. En exploitant cette vulnérabilité, un attaquant pourrait accéder au service Azure d’une organisation et à d’autres services Azure internes et privés.

« Cette vulnérabilité permet à un attaquant de contrôler les requêtes de forge côté serveur, et donc de se faire passer pour un service Azure de confiance", explique Liv Matan, ingénieur de recherche principal chez Tenable. « Nous recommandons vivement aux clients de prendre des mesures immédiates. En s’assurant qu’une authentification réseau forte est maintenue, les utilisateurs peuvent se défendre avec une couche de sécurité supplémentaire et cruciale ».

Les clients Azure dont les règles de pare-feu s’appuient sur les balises de service Azure pour la sécurité sont menacés par cette vulnérabilité et doivent prendre des mesures immédiates pour atténuer le problème afin de s’assurer qu’ils sont protégés par de solides couches d’authentification et d’autorisation. des couches robustes d’authentification et d’autorisation.