Une brèche dans le système de sécurité de Microsoft a permis de pirater plusieurs programmes informatiques

Le système de sécurité Azure App a présenté des insuffisances quant à son système de sécurité. Cette brèche a causé l’étalage du contenu de programmes clients codés en Java, Node, PHP, Phyton et Ruby. Microsoft a très vite été mise au courant du problème et a expliqué que seulement un groupe restreint de consommateurs serait concerné. Après cet incident, plusieurs dispositions ont été prises afin de remédier à la situation.

microsoft système
Source : Microsoft

Cette vulnérabilité portant le nom de « Not Leight », a été signalée à Microsoft par des experts la société Wiz. En effet, des utilisateurs auraient partagé le code source sur l’application de service de Lunix par le biais de Local Git à la suite de la création des fichiers dans le programme. Microsoft rassure cependant que seule cette catégorie de sa clientèle a été touchée.

Les fuites de code sont souvent utilisées par les pirates informatiques pour des attaques sophistiquées. En réalité, il est beaucoup plus facile de trouver des failles dans un logiciel lorsque le code source est accessible.

À quoi sert l’Azure App Service ?

L’Azure App Service est une plateforme qui utilise le cloud computing afin de concevoir et rendre accessible des applications sur internet. Elle concède à ses clients le droit de publier leur code source ainsi que les artéfacts vers le service en utilisant un dépôt Git Local ou par le biais des dépôts logés sur GitHub ou Bitbucket.

L’attitude non fiable de base parait, au moment où le Git local est employée pour publier sur Azure App Service. Cette méthode rend le Git vulnérable et accessible aux internautes.

Quelles mesures Microsoft a prises ?

Microsoft a joint un fichier « web. config » à la base de données git qui comporte le bilan et le compte rendu du dépôt afin de maîtriser les accès libres. Malgré cela, les registres de configuration ne sont utilisés qu’avec les applications ASPNET qui sont basées sur les serveurs web IIS de Microsoft. Ceci exclut les logiciels conçus avec d’autres langages informatiques tels que PHP, Ruby, Python ou Node qui sont déployées grâce à d’autres serveurs web.

Shir Tamari a expliqué que la seule alternative pour un pirate informatique serait de récupérer le git ainsi que le code source de l’application cible. En quête de registres git exposés, ces individus fouillent internet à plein temps. Leur but étant d’amasser des informations personnelles d’intérêt et des confidences. Ils sont également en quête de fuites de code source qui pourrait contenir des données privées comme les mots de passe.

SOURCE : THEHACKERNEWS

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.