#Microsoft #Update
Microsoft a rapidement corrigé trois vulnérabilités majeures dans le service API Management d’Azure. Ces failles permettaient de contourner les URL et de télécharger des fichiers sans restriction. Les vulnérabilités SSRF ont permis aux attaquants de simuler des requêtes provenant de serveurs légitimes, d’accéder à des services internes contenant des informations sensibles et de compromettre la disponibilité des serveurs vulnérables. Une autre vulnérabilité de traversée de répertoire a permis le téléchargement de fichiers malveillants sur le serveur du portail des développeurs Azure. Ces vulnérabilités affectent également les utilisateurs finaux ayant déployé le portail développeur.
D’autres vulnérabilités critiques ont été découvertes, notamment une faille « by-design » permettant l’accès à des comptes de stockage et l’exécution de code à distance. Les chercheurs recommandent de désactiver l’autorisation Azure Shared Key et d’utiliser l’authentification Azure Active Directory pour prévenir l’exploitation de cette faille. Une autre vulnérabilité d’exécution de code à distance, appelée EmojiDeploy, a été identifiée dans plusieurs services Azure. Elle permet aux attaquants de déployer des fichiers malveillants dans l’application Azure ciblée.