Plusieurs rôles intégrés Azure sont sur-privilégiés en incluant la permission générique */read*, donnant une visibilité en lecture sur toutes les ressources alors qu’ils devraient se limiter à des services spécifiques.
Au moins 10 rôles intégrés présentent ce problème de sur-privilège, notamment Managed Applications Reader, Log Analytics Reader et App Compliance Automation Reader.
Avec la permission */read*, un attaquant peut voler des secrets et des configurations (codes sources, variables d’environnement, clés de stockage, règles réseau, attributions de rôles) pour planifier et exécuter des attaques.
Une vulnérabilité dans l’API Azure VPN Gateway permet de récupérer la clé pré-partagée VPN via une requête GET non protégée, exposant l’accès aux réseaux internes et on-premise.
L’attaque se déroule en trois étapes : compromis d’un compte en lecture seule, extraction de la clé VPN et connexion S2S au réseau interne.
Microsoft a choisi de corriger uniquement la documentation pour les rôles sur-privilégiés mais a fixé le bug VPN en exigeant désormais une permission spécifique pour lire la clé.
Pour se protéger, il est recommandé d’auditer et de ne pas utiliser les rôles problématiques, de limiter les scopes d’accès et de créer des rôles personnalisés avec des permissions minimales.
Le rapport souligne la responsabilité partagée et alerte sur la nécessité de ne pas se fier aveuglément aux rôles et API fournies par le cloud provider.
Get notified when new stories are published for "🇫🇷 Hacker News Français"