• Buzz chaud du moment
  • Buzz chaud du moment
Actualités

“Nous sommes très déçus des commentaires et des affirmations du MSRC” : SOCRadar accuse le coup après la mise en lumière d’un bucket mal configuré sous un Azure Blob Storage ! (RedBleed…)

Alors que la Toussaint est en approche, les commémorations ou, ici, les festivités semblent déjà avoir débuté : l’équipe SOCRadar, depuis le 19 Octobre 2022, mettait en lumière BlueBleed, une vulnérabilité pouvant potentiellement exploiter une mauvaise configuration de serveurs en Bucket (dont solutions Microsoft Azure) et qui pouvait entraîner le déversement massif de données privées ou sensibles, au moins, depuis 2017, de quelques 2,7 To de données, au minimum et relatives à 150 000 entreprises dans le monde. Cette intrusion sécuritaire a été relayée à Microsoft, par les chercheurs, officiellement, depuis le 24 Septembre 2022 mais il semble que ce dernier n’ait pas apprécié la manière dont le PoC ou les informations techniques ont été partagées (publiquement).

 

 

Nous apprécions que SOCRadar nous informe du point de terminaison mal configuré, mais après avoir examiné leur article de blog, nous souhaitons d’abord noter que SOCRadar a considérablement exagéré la portée de ce problème. Notre enquête et notre analyse approfondies de l’ensemble de données montrent des informations en double, avec de multiples références aux mêmes e-mails, projets et utilisateurs. Nous prenons ce problème très au sérieux et sommes déçus que SOCRadar ait exagéré les chiffres impliqués dans ce problème même après avoir mis en évidence leur erreur. Plus important encore, nous sommes déçus que SOCRadar ait choisi de rendre public un “outil de recherche” qui n’est pas dans le meilleur intérêt d’assurer la confidentialité ou la sécurité des clients et de les exposer potentiellement à des risques inutiles“, indique le communiqué de Microsoft, le 19 Octobre 2022.

 

Répartition, par fichier, 
de la vulnérabilité BlueBleed (Part I)

 

Du point de vue de SOCRadar, ce service a tellement de choses en commun avec “Have I Been Pwned”, où les internautes peuvent vérifier si leurs données ont été compromises dans des violations de données. Ce site a été salué comme une source précieuse d’informations pour les utilisateurs souhaitant protéger leur vie privée et leur sécurité en ligne. La recherche BlueBleed indique uniquement si un nom de domaine a été détecté sur cette fuite ou non et ne fournit publiquement aucun autre détail sur les noms de domaine recherchés. Par conséquent, nous ne voyons aucun « risque inutile » mettant en danger la confidentialité et la sécurité des clients. Pour être plus précis, ce qui constitue une plus grande menace est le maintien des données sensibles des organisations dans un compartiment public. L’outil de recherche public BlueBleed ne renvoie des résultats comme DETECTED et NOT DETECTED que si le nom de domaine recherché est détecté dans les métadonnées (noms de domaine, noms de société, adresses e-mail, etc.). Il est important de noter que de nombreux outils de cyber-recherche, tels que HaveIBeenPwnd, VirusTotal, Shodan, GrayHat Warfare, etc., fournissent des informations similaires avec plus de détails“, rétorquent, à leur défense, les chercheurs SOCRadar, en notant qu’ils sont effectivement loin d’être les seuls à proposer, post-publication, ce type de service en ligne ; Have I Been Pwned, effectivement encore, étant l’un des plus largement usité, connu. “Nous sommes très déçus des commentaires et des affirmations de MSRC après toute la coopération et le soutien que nous avons fournis qui ont absolument empêché la cyber-catastrophe mondiale”, est-il ajouté en fin de FAQ (complémentaire, post-publication) dédiée à BlueBleed.

 

En argument ultime, il est re-précisé que les Buckets de Microsoft “ont déjà été indéxés depuis des mois” et qu’ils sont “publiquement visibles” en lecture, y compris depuis les moteurs de recherche, précisait, à son tour, Kevin Beaumont, le 20 Octobre 2022, depuis un billet Twitter.

Pour rappel, BlueBleed inclue une exposition de données potentielles dans le Microsoft Bucket, au moins, depuis 2017 et jusqu’en Août 2022 : concernant 111 pays, environ 335 000 mails, 133 000 projets voire 548 000 utilisateurs ou comptes-utilisateurs ont pu avoir les données exposées suivantes :

 

  • Documents POE,
  • Documents SOW,
  • Factures,
  • Ordres de commande,
  • Offres, solutions-produits,
  • Détails des projets,
  • Documents-clients signés,
  • Travaux type PoC,
  • eMails clientèle (y compris les fichiers .EML),
  • Stocks et listing des grilles tarifaires des clients,
  • Commentaires internes pour les clients,
  • Stratégies de vente,
  • Ressources de documentation pour la clientèle et,
  • Détails de l’éco-système des partenaires, affiliation.

Recommandations émises par les chercheurs (qui indiquent que BlueBleed, impact une mauvaise configuration de 6 Bucket et en tant que partie première de divulgation…) pour les gestionnaires ou administrateurs de bucket(s) sous Microsoft :

 

  • Etablir une identification de l’ensemble des solutions ou infra-structures logicielles dépendantes ou découlantes en terme de cyber-attaque pour adapter la stratégie de configuration des points de terminaisons externes ;
  • Renforcer la sécurité des points de terminaison et, en plus du premier point ci-dessus, appliquer une veille chronique sur “tout actif externe out au public” ou qui intègre une donnée sensible et / ou privée ;
  • Appliquer un partage des responsabilités ou tâches de veille sécuritaire ;
  • Utiliser un jeton d’accès (token) partagé (avec une limite de temps) pour les containeurs blob ;
  • En veille ou inactives, les données doivent avoir un chiffrement ;
  • Appliquer la stratégie du Zero Trust (Zéro Confiance) dans le Cloud.

 

 

“Nous avons concentré notre attention sur la notification directe aux clients concernés et leur avons fourni des instructions pour contacter Microsoft en cas de questions ou de préoccupations. Si vous n’avez pas reçu de communication du centre de messages, notre enquête n’a pas identifié d’impact sur vous ou votre organisation“, indique, de son côté, la cellule sécuritaire de Microsoft, sans indiquer davantage de détails… A veiller !

 

 

 

Sources :

 

50% J'apprécieVS
50% Je n'apprécie pas



  • Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.14.0