Scénario catastrophe pour l'éditeur : « nous avons pu obtenir un accès complet et sans restriction aux comptes et bases de données de plusieurs milliers de clients Microsoft Azure, y compris de nombreuses entreprises du Fortune 500 », affirme l’entreprise Wiz spécialisée dans la sécurité informatique.
La brèche a été ajoutée en 2019 avec la fonctionnalité Jupyter Notebook to Cosmos DB. Cette dernière a été activée par défaut pour toutes les nouvelles bases Cosmos DB en février 2021. Microsoft confirme, mais ajoute que, selon son enquête, « aucune donnée client n'a été accédée ». Les clients potentiellement concernés ont été prévenus.
Microsoft accorde 40 000 dollars de récompense à Wiz pour avoir signalé cette faille de manière responsable (début août), lui laissant ainsi le temps de la corriger et de prévenir ses clients.
Commentaires (6)
#1
C’est presque grotesque
#1.1
C’est complètement grotesque.
#2
Microsoft a réagi très rapidement, c’est une très bonne chose. Malheureusement, dans ce cas, corriger la vulnérabilité ne suffit pas : si une clé d’accès a fuité, elle peut être réutilisée en dehors de Jupyter Notebook. Et souvent avec une durée de validité assez importante.
wiz.io donne également quelques conseils pour mettre en place une rotation des clés (qui permet de réduire le temps où une clé ayant fuité peut être utilisée) ainsi que réduire l’exposition. La mesure la plus urgente reste de changer cette clé (ça fait partie de la communication de Microsoft aux clients).
#3
en soit, tu peux régénerer les clés en un clic et c’est fini
Et j’espère que ceux qui sont en prod avec cosmos db utilisent les managed identity
https://docs.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/overview
#4
Hein ? Que 40 000 Pesetas ? Ils plaisantent ou quoi ?
Alors que de l’autre côté, on peut se faire 500 0000 par faille…?
Radins !!! Remboursez !!! 
.
…hem… ou filez-moi la différence, je saurais quoi en faire, gneugneugneu… 
.
.
#5
Microsoft = Microrécompense.