Selon Microsoft, seules les anciennes versions d’Azure Service Fabric Explorer sont vulnérables aux exploits FabriXss. Comme toujours, il est temps de mettre à jour !
Une vulnérabilité appelée FabriXss découverte dans Azure Service Fabric Explorer (SFX) de Microsoft pourrait potentiellement permettre aux attaquants d’obtenir des droits d’administrateur. Cela leur permet de prendre en charge des clusters Service Fabric entiers. Selon Microsoft, seules les anciennes versions de SFX sont concernées. Le groupe recommande donc une mise à niveau.
Une vulnérabilité donne aux attaquants des droits d’administrateur dans les clusters Azure Service Fabric
Comme le rapporte BleepingComputer, les attaquants peuvent obtenir des droits d’administration grâce à une vulnérabilité dans Azure Service Fabric Explorer de Microsoft. Les chercheurs en sécurité d’Orca Security ont découvert cette vulnérabilité d’usurpation SFX (CVE-2022-35829) nommée FabriXss. Les cybercriminels peuvent potentiellement prendre le contrôle de clusters Service Fabric entiers.
En tant que plate-forme pour les applications critiques, Azure Service Fabric héberge plus d’un million d’applications. Ceux-ci incluent de nombreux produits Microsoft largement utilisés tels que Microsoft Intune, Dynamics 365, Skype Entreprise, Cortana, Microsoft Power BI et plusieurs services de base Azure. Le Service Fabric Explorer affecté par FabriXss, en revanche, est un outil open source. Cela permet parfois aux administrateurs de gérer et de vérifier leurs applications cloud dans des clusters Service Fabric.
« Nous avons constaté qu’un utilisateur de type Deployer avec une seule autorisation « Créer une nouvelle application » à partir du tableau de bord pouvait créer un nom d’application malveillant et abuser des droits d’administrateur pour effectuer divers appels et actions. Cela inclut la réinitialisation d’un nœud de cluster, qui efface tous les paramètres personnalisés tels que les mots de passe et les configurations de sécurité, permettant à un attaquant de créer de nouveaux mots de passe et d’obtenir des privilèges administratifs complets.
Sécurité Orque
Seules les anciennes versions SFX de FabriXss sont concernées
La société de sécurité a signalé la vulnérabilité à Microsoft le 11 août. Enfin, le 11 octobre, le géant du logiciel a fourni une mise à jour pour fermer la vulnérabilité. Comme le groupe l’a annoncé, seuls les anciens Service Fabric Explorer (SFXv1) peuvent être attaqués par les exploits FabriXss, mais pas les clients Web SFX standard actuels (SFXv2). De plus, supposons que le problème « qu’un attaquant dispose déjà des droits de déploiement et d’exécution de code dans le cluster Service Fabric » disposer. De plus, la cible doit utiliser le client Web vulnérable SFXv1.
Et même si Microsoft affirme n’avoir trouvé aucune preuve d’abus de la vulnérabilité, la société conseille à tous les clients de Service Fabric de n’utiliser que la dernière version de SFX. Le géant du logiciel veut complètement empêcher l’option d’utiliser SFXv1 et de le rétrograder à partir d’une version plus récente avec une future mise à jour.
Si vous êtes intéressé par une preuve de concept de l’exploit FabriXss et des détails techniques sur la vulnérabilité, vous pouvez trouver plus d’informations dans le billet du blog Orca Security. Presque en même temps que cette vulnérabilité a été publiée, une fuite de données due à une mauvaise configuration d’un stockage Azure blob de Microsoft a été connue. En conséquence, de nombreuses données explosives de clients du groupe ont été rendues publiques sur Internet. Le groupe Redmond est apparemment de mieux en mieux pour attirer les pannes.