Microsoft corrige les bugs d’ExtraReplica Azure qui exposaient les bases de données utilisateur

Microsoft Azure

Microsoft a corrigé une chaîne de vulnérabilités critiques trouvées dans le serveur flexible Azure Database pour PostgreSQL qui pourraient permettre à des utilisateurs malveillants d’élever leurs privilèges et d’accéder aux bases de données d’autres clients après avoir contourné l’authentification.

Le Option de déploiement flexible du serveur pour Azure Database pour PostgreSQL donne aux clients le maximum de contrôle possible sur leurs bases de données, y compris un réglage fin et plusieurs paramètres de configuration.

« En exploitant un bug d’autorisations élevées dans le processus d’authentification Flexible Server pour un utilisateur de réplication, un utilisateur malveillant pourrait tirer parti d’une expression régulière mal ancrée pour contourner l’authentification afin d’accéder aux bases de données d’autres clients », a expliqué aujourd’hui l’équipe Microsoft Security Response Center.

« Cela a été atténué dans les 48 heures (le 13 janvier 2022). [..] Les clients utilisant l’option de mise en réseau à accès privé n’étaient pas exposés à cette vulnérabilité. L’offre de serveur unique de Postgres n’a pas été impactée. »

Microsoft a déployé des correctifs sur tous les serveurs flexibles d’ici le 25 février 2022 pour résoudre une faille d’exécution de code à distance dans le service Flexible Server PostgreSQL et un bug d’élévation des privilèges.

L’équipe de recherche de la société de sécurité cloud Wiz, qui a découvert les bugs de sécurité, les a collectivement surnommés Réplique supplémentaire et l’a divulgué à Microsoft le 11 janvier 2022.

Comme expliqué par Microsoft, les chercheurs de Wiz ont suivi les étapes suivantes pour obtenir des privilèges élevés et l’exécution de code à distance, ce qui leur a permis de contourner l’authentification entre comptes à l’aide d’un faux certificat et d’accéder aux bases de données d’autres clients :

  1. Choisissez un serveur flexible PostgreSQL cible.
  2. Récupérez le nom commun de la cible à partir du flux Certificate Transparency.
  3. Achetez un certificat spécialement conçu auprès de DigiCert ou d’une autorité de certification intermédiaire DigiCert.
  4. Recherchez la région Azure de la cible en résolvant le nom de domaine de la base de données et en le faisant correspondre à l’une des plages d’adresses IP publiques d’Azure.
  5. Créez une base de données contrôlée par l’attaquant dans la région Azure de la cible.
  6. Exploitez la vulnérabilité n°1 sur l’instance contrôlée par l’attaquant pour élever les privilèges et obtenir l’exécution du code.
  7. Scannez le sous-réseau pour l’instance cible et exploitez la vulnérabilité #2 pour obtenir un accès en lecture !
Flux d'attaque ExtraReplica
Flux d’attaque ExtraReplica (Wiz)

Microsoft affirme qu’aucun de ses clients Azure utilisant les serveurs flexibles concernés avant le déploiement du correctif n’a été affecté de quelque manière que ce soit, et aucune donnée client n’a été consultée sans autorisation en exploitant la chaîne de vulnérabilité ExtraReplica.

Étant donné que la société a déjà corrigé les failles de sécurité sur tous les serveurs de bases de données vulnérables, les clients ne sont pas tenus de prendre des mesures pour protéger leurs données.

Cependant, Microsoft recommande de déployer des serveurs flexibles PostgreSQL sur les réseaux virtuels Azure (VNet)qui fournissent une communication réseau privée et sécurisée.

« Afin de minimiser davantage l’exposition, nous recommandons aux clients d’activer l’accès au réseau privé lors de la configuration de leurs instances de serveur flexible », a expliqué Redmond.

« Comme pour les autres vulnérabilités du cloud, ce problème n’a pas reçu d’identifiant CVE (contrairement aux vulnérabilités logicielles). Il n’est enregistré ni documenté dans aucune base de données », a ajouté l’équipe de recherche de Wiz.

« L’absence d’une telle base de données nuit à la capacité des clients à surveiller, suivre et répondre aux vulnérabilités du cloud. »

Calendrier de divulgation :

  • 01/11/22 – Wiz Research a signalé les vulnérabilités à MSRC (cas 69557)
  • 13/01/22 – MSRC a commencé à enquêter sur les vulnérabilités et a ensuite corrigé le problème de certificat (vulnérabilité #2)
  • 14/01/22 – MSRC a vérifié son correctif, comme observé par Wiz Research (transparence des certificats).
  • 15/01/22 – MSRC a décerné à Wiz Research une prime de 40 000 USD
  • 18/01/22 – MSRC a déclaré avoir reproduit avec succès toutes les vulnérabilités
  • 25/02/22 – Un correctif a été déployé sur toutes les instances vulnérables

L’année dernière, l’équipe de recherche de Wiz a également révélé une nouvelle classe de vulnérabilités DNS affectant les principaux fournisseurs DNS-as-a-Service (DNSaaS) et permettant aux attaquants d’accéder aux informations sensibles des réseaux d’entreprise dans ce qu’ils ont décrit comme « l’espionnage au niveau de l’État-nation ». campagnes.

Les chercheurs ont également découvert plusieurs autres failles de sécurité dans les produits Microsoft Azure, notamment Azure Cosmos DB, l’agent logiciel Open Management Infrastructure (OMI) et Azure App Service.