Dans son article de blog du 30 janvier 2020, Ronen Shustin du pôle de recherche de Check Point a détaillé les processus de détection de deux vulnérabilités critiques du service de cloud computing Microsoft Azure Stack et le service Azure App.

L’objectif était de démontrer qu’il ne faut pas accorder une confiance aveugle dans les infrastructures cloud, qui peuvent parfois se révéler moins sécurisées qu’on ne pourrait le penser… Pour cela, ils ont exploré l’infrastructure d’Azure Stack, variante hybride qui permet de bénéficier des services Azure sur une infrastructure d’hébergement privée. Ils ont entre autres expliqué que cette version du service fonctionnait sur des versions antérieures des outils exploités dans le service Azure public (sans forcément détailler si l’exploitation des failles était possible sur le service Azure public, la confidentialité de ce genre d’information, lié au géant du web, étant particulièrement sensible…)

La première faille (CVE-2019-1234) concerne une vulnérabilité d’exécution de requêtes, permettant à un hacker d’utiliser la technique du spoofing afin de transmettre ses propres requêtes aux ressources d’Azure Stack. Un attaquant pourrait notamment obtenir des informations hébergées sur des machines virtuelles isolées ou partagées, hébergées sur la solution. Certains web services Azure Stack permettent en effet d’envoyer des instructions HTTP sans authentification, et de récupérer ainsi des captures d’écran des données des utilisateurs et de l’infrastructure, ce qui est très grave.

La seconde faille qui a été mise au jour (CVE-2019-1372) permet d’exécuter du code à distance via Azure App Service (API de déploiement et de création d’applications), permettant au final de prendre le contrôle du
serveur Azure.

Ronen Shustin décrit également comment, en combinant ces failles, un attaquant peut créer un compte utilisateur gratuit sur la plateforme Azure Cloud et exploiter ce dernier pour y exécuter des fonctions
malveillantes, ou pour mettre en œuvre une élévation de privilèges, comme décrit dans le CVE-2019-1372.

Check Point a communiqué ces recherches à Microsoft qui a depuis patché ces failles.

Cette description du processus d’analyse de Check Point démontre comment, avec une logique somme toute assez simple, des connaissances techniques basiques, et un peu de temps, des failles critiques peuvent être détectées. Ainsi, aucun point n’est à négliger en terme de cybersécurité, et il est important d’être bien conscient des enjeux de l’hébergement de ses données sur une architecture Cloud, notamment d’une telle
envergure, cible régulière de nombreux black hats…

En savoir plus :