Les clients de Microsoft qui utilisent des VM Linux dans le nuage Azure de la société doivent prendre des mesures dès que possible et corriger un certain nombre de vulnérabilités de sécurité dangereuses. Contre toute attente, Microsoft ne le fera pas lui-même. Compte tenu du danger pour ses clients, l’entreprise fait étonnamment peu pour les protéger dans cette affaire.

Les attaques sont un jeu d’enfant

Dans le cadre de sa journée mensuelle de correctifs, Microsoft a corrigé cette semaine des problèmes liés à son logiciel Open Management Infrastructure (OMI), qui est installé dans des VM Linux dans le nuage Azure pour assurer des fonctions de gestion, entre autres. Les problèmes liés à OMI sont dus à quatre vulnérabilités que la société de sécurité Wiz a découvertes dans le logiciel. Ils permettent à un utilisateur non connecté d’exécuter un code malveillant arbitraire avec les privilèges root dans la VM affectée. Tout ce dont l’attaquant a besoin est d’accéder à la machine virtuelle depuis le réseau public. Les chercheurs en sécurité de Wiz ont donné à ces failles le nom d’OMIGOD, probablement parce que c’est exactement la phrase qui vient à l’esprit dès que l’on comprend à quel point il est incroyablement facile d’exploiter ces failles.

La situation en matière de sécurité est également exacerbée par le fait que OMI n’est pas un logiciel avec lequel les administrateurs Linux sont intrinsèquement familiers, car il s’agit d’un phénomène spécifique à Microsoft dans l’environnement Azure. Laissé à lui-même, l’administrateur de la VM Linux ne saura probablement même pas que l’OMI est utilisé, car le service est discrètement et secrètement installé dans la VM lorsqu’un certain nombre de services Azure sont activés pour les mises à jour automatiques, l’analyse des journaux ou les fonctions de configuration et de diagnostic. Habituellement, le service est installé avec les nouvelles VM lorsque ces fonctions sont configurées lors de l’installation.

Tableau des horreurs

La question se pose maintenant de savoir pourquoi Microsoft, dans le cadre de ses correctifs du jour du patch, n’a pas réglé le problème de manière aussi automatique qu’en installant le service OMI sans demander au client. Après tout, l’argument publicitaire central des services en nuage, également chez Microsoft, est que l’utilisateur doit s’occuper d’aussi peu de choses que possible. En général, les fournisseurs de services en nuage corrigent discrètement ces failles de sécurité avant même qu’elles ne deviennent publiques. Le client ne doit se soucier de rien et ses systèmes sont plus sûrs que s’il devait s’activer lui-même et appliquer des correctifs, car le fournisseur de services en nuage peut le faire beaucoup plus rapidement et plus efficacement pour tous les systèmes à la fois.

Microsoft voit manifestement les choses différemment. Dans ses avis actuels sur les lacunes d’OMIGOD, l’entreprise recommande à ses clients d’installer eux-mêmes les mises à jour correspondantes dès qu’elles sont disponibles. À cette fin, la société fournit un tableau clair – Microsoft loves tables – avec les différents composants OMI, où ils peuvent être trouvés et quand un correctif peut être attendu.

Toutefois, Microsoft n’a pas formaté le tableau de manière à ce que les navigateurs web puissent l’afficher raisonnablement. Au premier, et même au second, coup d’œil, la colonne des correctifs est invisible. Ce n’est que lorsque l’on découvre la barre de défilement horizontale à la toute fin du tableau que l’on comprend que les informations réellement importantes se cachent bien à droite, en dehors de la zone visible du tableau. D’ailleurs, même un écran ultra-large n’est d’aucune utilité ici ; c’est la mise en page du site web de Microsoft qui pose problème. Au moins une note concernant la barre de défilement a été ajoutée à la fin du tableau quelque temps après la publication initiale des notes au-dessus du tableau.

Le nuage insouciant est différent

Le tableau contient 13 problèmes spécifiques qui peuvent être attribués aux lacunes d’OMIGOD. Selon Microsoft, six d’entre elles seront corrigées automatiquement. Cependant, les administrateurs des VMs Linux affectées doivent s’occuper eux-mêmes de sept autres lacunes. Les utilisateurs doivent donc vérifier par eux-mêmes si leurs systèmes utilisent la dernière version du logiciel OMI et si leurs machines virtuelles n’ont pas déjà été attaquées et compromises par le biais des failles. Pour aggraver les choses, Microsoft semble avoir installé des services OMI vulnérables dans les VM Linux, même après la publication des mises à jour lors du Patch Day, alors qu’elles venaient d’être mises en place. Pour une entreprise de la taille de Microsoft, une gestion aussi laxiste d’une vulnérabilité aussi critique d’exécution de code à distance est embarrassante. Les clients qui s’attendent à un nuage sans souci sont laissés en plan avec une grave vulnérabilité de sécurité dans un logiciel qu’ils n’ont pas explicitement voulu installer.

Heureusement, jusqu’à présent, il ne semble pas y avoir d’attaque massive comme la violation d’Exchange par Microsoft au début de l’année. L’entreprise de sécurité Censys n’a trouvé que quelques dizaines de serveurs vulnérables au cours d’une enquête, probablement parce que seules quelques-unes des machines virtuelles concernées sont accessibles au public sur l’internet. Néanmoins, les systèmes affectés doivent être corrigés dès que possible. L’exploitation des failles d’OMIGOD est si facile et le résultat si retentissant (accès à la racine) qu’il ne faudra pas longtemps aux attaquants pour trouver les systèmes touchés et les cibler. Un code d’attaque de type « proof-of-concept » pour les vulnérabilités est disponible. heise Sécurité déjà avant.

(fab)