Les vulnérabilités des équipes Microsoft permettent aux pirates d’espionner les utilisateurs

  • FrançaisFrançais



  • Des experts en sécurité ont révélé une vulnérabilité critique dans Azure App Service de Microsoft qui pourrait exposer le code source des applications des utilisateurs écrites dans les langages de programmation Java, Node, PHP, Python et Ruby. La vulnérabilité est maintenant corrigée après que les chercheurs de Wiz ont signalé le problème à Microsoft. Un rapport de Wiz indique que, la vulnérabilité surnommée Pas légitime est actif depuis septembre 2017 et a probablement été exploité à l’état sauvage.

    « Les seules applications qui n’ont pas été affectées par cette faille de sécurité sont les applications basées sur IIS. Microsoft a envoyé différentes notifications par e-mail à tous les utilisateurs concernés en fonction de leur configuration entre le 7 et le 15 décembre 2021 », indique le rapport.

    Lisez aussi: Microsoft corrige 6 failles Zero-day dans la mise à jour du mardi du correctif de décembre 2021

    Microsoft a déclaré que la vulnérabilité se déclenche lorsque les utilisateurs configurent involontairement le dossier .git à créer dans la racine du contenu, ce qui les expose à un risque de divulgation d’informations. Le géant de la technologie a déclaré que la vulnérabilité aurait pu affecter quelques utilisateurs. « Les clients qui ont déployé du code sur App Service Linux via Local Git après la création de fichiers dans l’application ont été les seuls clients concernés », a déclaré Microsoft.

    Atténuation

    Microsoft a pris les mesures suivantes après la divulgation de la vulnérabilité :

    • Mise à jour de toutes les images PHP pour interdire la diffusion du dossier .git en tant que contenu statique en tant que mesure de défense en profondeur.
    • Clients avertis touchés en raison de l’activation du déploiement sur place avec des conseils spécifiques sur la façon d’atténuer le problème. Nous avons également informé les clients qui avaient téléchargé le dossier .git dans le répertoire de contenu.
    • Mise à jour de notre document de recommandations de sécurité avec une section supplémentaire sur la sécurisation du code source. Nous avons également mis à jour la documentation pour les déploiements sur place.

    « Tout ce qu’un acteur malveillant avait à faire était de récupérer le répertoire ‘/.git’ de l’application cible et de récupérer son code source. Des acteurs malveillants recherchent en permanence sur Internet les dossiers Git exposés afin de collecter des secrets et de la propriété intellectuelle. Outre la possibilité que la source contienne des secrets tels que des mots de passe et des jetons d’accès, le code source divulgué est souvent utilisé pour d’autres attaques sophistiquées », a déclaré Shir Tamari, chercheuse chez Wiz.

    Microsoft met en garde contre les failles d’Active Directory

    Microsoft a récemment demandé aux organisations et aux utilisateurs de corriger immédiatement deux vulnérabilités de sécurité liées à l’escalade des privilèges du service de domaine Active Directory. Suivies sous les noms CVE-2021-42287 et CVE-2021-42278, ces vulnérabilités permettent aux acteurs malveillants de prendre le contrôle des domaines Windows. Alors que le géant de la technologie a corrigé ces failles lors du Patch Tuesday de novembre 2021, un outil de preuve de concept exploitant les vulnérabilités a été rendu public. Lire la suite ici…

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.