Vulnérabilités critiques dans Azure : rôles mal configurés et fuite de clé VPN
Des chercheurs en sécurité ont découvert plusieurs rôles intégrés Azure mal configurés qui accordent des permissions excessives. Combiné à une vulnérabilité dans l’API Azure permettant des fuites de clés VPN, cela crée une chaîne d’attaque permettant à un utilisateur peu privilégié d’accéder aux actifs cloud internes et aux réseaux locaux. La recherche détaille le processus de découverte, les implications et les stratégies d’atténuation. Dix rôles intégrés présentaient des privilèges excessifs, tandis que la vulnérabilité de fuite de clé VPN a été corrigée par Microsoft. Les recommandations incluent l’audit des rôles problématiques, l’utilisation d’étendues limitées et la création de rôles personnalisés avec des permissions granulaires.