Vulnérabilité critique sur Azure permettant un accès administrateur global
Le chercheur en sécurité Dirk-jan Mollema a découvert deux vulnérabilités critiques dans Microsoft Azure Entra ID (anciennement Azure Active Directory) qui auraient pu accorder des privilèges d'administrateur global à tous les comptes clients Azure. Ces vulnérabilités concernaient des systèmes hérités au sein d'Entra ID, notamment des jetons d'authentification Azure appelés "Actor Tokens" et une API obsolète appelée "Graph". Mollema a signalé les failles à Microsoft le 14 juillet, et Microsoft a publié un correctif global le 17 juillet. Microsoft a déclaré n'avoir trouvé aucune preuve d'abus. Cela souligne les défis de sécurité importants, même pour les principaux fournisseurs de cloud, et souligne l'importance des mises à jour rapides et de la migration vers des protocoles de sécurité modernes.