Sécurité : Azure Synapse s’attire les foudres des chercheurs en sécurité
Dans le monde de la sécurité, les chercheurs acceptent généralement d’attendre un délai d’au moins 90 jours avant de dévoiler les détails d’une faille qu’ils ont découverte. Un délai qui se calque notamment sur le calendrier adopté par l’équipe Google Project Zero.
Mais parfois, la correction d’une faille peut traîner en longueur…
SynLapse
Le chercheur en sécurité Tzah Pahima, qui travaille pour la société de cybersécurité Orca, avait ainsi découvert une faille de sécurité critique affectant Azure Synapse Analytics, un service d’analyse de données fournies sur le cloud de Microsoft.
La vulnérabilité découverte par le chercheur, baptisée « SynLapse », permettait à des attaquants extérieurs à l’entreprise d’accéder aux informations hébergées au sein du service Azure Synapse Analytics, ainsi que des informations confidentielles appartenant aux utilisateurs du service.
« En connaissant le simple nom d’un espace de travail Azure Synapse, nous sommes en mesure de gagner l’accès à plusieurs comptes utilisateurs ayant accès à cet espace, faire fuiter les identifiants d’accès des clients de cet espace de travail, communiquer avec les autres espaces de travail du client et prendre le contrôle de l’entièreté du pool Azure batch utilisé pour faire fonctionner les espaces de travail partagés. »
Jamais deux sans trois
Une faille plutôt sérieuse que le chercheur a signalée à Microsoft le 4 janvier. Mais la correction du problème s’est révélée plus compliquée que prévu, selon la chronologie publiée par le chercheur.
Pendant les deux mois suivants, Microsoft demande plus d’informations sur la vulnérabilité, avant de déployer un premier patch partiel à la fin du mois de mars. Un premier patch que les chercheurs d’Orca sont parvenus à contourner, provoquant de nouvelles réunions et explications avec Microsoft.
Un deuxième patch est proposé au début du mois d’avril, que les chercheurs d’Orca parviennent également à contourner. Un troisième patch, développé au milieu du mois d’avril, permet de corriger cette fois l’essentiel de la vulnérabilité, et des protections supplémentaires sont mises en œuvre par les équipes de Microsoft au mois de mai, achevant de fait la correction de cette vulnérabilité. Les clients ne seront informés de l’existence de la faille et de son correctif qu’au mois de mai.
La loi des séries
Il aura donc fallu entre quatre et cinq mois pour corriger complètement le problème. Les chercheurs d’Orca indiquent avoir reçu une prime de 60 000 dollars au titre du bug bounty proposé par Microsoft.
Mais les chercheurs d’Orca ne sont pas les seuls à mettre en avant les difficultés de Microsoft dans la correction des failles signalées dans Azure Synapse. La société Tenable a expliqué dans un post de blog publié au début du mois avoir fait face à des difficultés similaires après avoir signalé deux failles dans le service de Microsoft au début du mois de mars.
Les problèmes rencontrés par Tenable ne tiennent pas tant aux délais de correction qu’à la caractérisation des failles et la communication au public de ces vulnérabilités et de leurs correctifs. Tenable souligne ainsi le fait que les failles affectant le cloud ne disposent pas d’un identifiant CVE, la méthode traditionnellement utilisée pour identifier les vulnérabilités dans les logiciels.
A partir du 30 avril, Microsoft a corrigé les vulnérabilités signalées par Tenable sans prévenir les clients de la mise en place du correctif. Un correctif qui se révèle d’ailleurs partiel, Tenable signalant qu’une partie de la vulnérabilité pouvait encore être exploitée. Et la société indique de son côté n’avoir reçu aucune prime au titre de ce signalement.
