Tag: app-subdomain-redirection:microsoft-azure

Microsoft corrige une grave vulnérabilité dans l’un de ses services IA

Microsoft a corrigé une grave vulnérabilité dans Azure Health Bot Service, un outil alimenté par l’intelligence artificielle qui permet aux développeurs de créer et déployer des assistants virtuels de santé. Cette faille, identifiée par Tenable, une entreprise de cybersécurité, mettait en danger l’intégrité des données confidentielles des patients, car elle permettait aux acteurs malveillants de se déplacer latéralement à travers l’infrastructure informatique des organisations de santé.

Microsoft Azure TÉLÉCHARGER

Azure Health Bot Service est conçu pour aider les organisations de santé à réduire les coûts et améliorer l’efficacité, sans compromettre la conformité réglementaire. Cependant, en travaillant avec une grande quantité d’informations sensibles, la sécurité des données devient un aspect crucial. Tenable a décidé d’analyser comment le chatbot gère la charge de travail et a découvert une série de vulnérabilités dans une fonction connue sous le nom de « Data Connections », conçue pour extraire des données d’autres services.

Bien que cet outil dispose de sauvegardes intégrées pour bloquer l’accès non autorisé aux API internes, les chercheurs ont réussi à contourner ces protections grâce à une approche technique : ils ont configuré un hôte externe contrôlé par eux-mêmes et l’ont utilisé pour émettre des réponses de redirection 301 vers le service de métadonnées Azure (IMDS).

Cette manœuvre leur a permis d’obtenir une réponse de métadonnées valide, qui contenait un jeton d’accès à management.azure.com. Avec ce jeton, ils ont pu accéder à une liste de toutes les abonnements disponibles, exposant ainsi des informations potentiellement sensibles.

Les experts de Tenable, qui ont informé Microsoft de ces découvertes il y a quelques mois, ont souligné que la vulnérabilité trouvée n’était pas due à des failles dans les modèles d’IA, mais dans l’architecture sous-jacente du service de chatbot d’IA. Après avoir pris connaissance de cela, Microsoft a agi rapidement et a corrigé la vulnérabilité dans toutes les régions concernées. Jusqu’à présent, aucune preuve n’a été trouvée que cette vulnérabilité ait été exploitée dans des environnements réels, ce qui suggère que les mesures correctives étaient efficaces et opportunes.

Microsoft Azure TÉLÉCHARGER

Microsoft Azure subit la plus grande faille de sécurité de son histoire

Des centaines de comptes Azure, le service cloud de Microsoft, auraient été compromis lors d’une violation de sécurité qui a exposé des données critiques de ses utilisateurs. L’attaque informatique, qui a touché de nombreux environnements, a ciblé des hauts dirigeants de grandes entreprises.

Microsoft Azure Accéder

Selon la société de cybersécurité Proofpoint, le piratage utilise la même campagne malveillante détectée en novembre 2023, qui intègre des méthodes de vol d’identifiants par phishing et de prise de contrôle de comptes dans le cloud (CTO). Cela aiderait les attaquants à accéder à OfficeHome ainsi qu’aux applications de Microsoft 365.

Les auteurs du piratage auraient utilisé des services proxy pour contourner les restrictions géographiques et masquer leur véritable emplacement. Pour mener à bien l’attaque, les cybercriminels ont incorporé des liens dans les documents qui redirigeaient les utilisateurs vers des sites de phishing. Ces liens avaient généralement pour texte d’ancrage « Voir le document », ce qui ne soulevait pas de soupçons.

L’attaque a été soigneusement planifiée et a ciblé à la fois les employés de niveau intermédiaire et supérieur, bien que la plupart des comptes compromis appartiennent aux premiers. Selon Proofpoint, des postes tels que directeurs des ventes, directeurs de compte, directeurs financiers, vice-présidents des opérations, directeurs financiers, présidents et PDG étaient les cibles les plus courantes. Cela a permis aux attaquants d’accéder aux informations à travers les niveaux et les domaines des organisations.

Dans ce type d’attaques, une fois que le compte est compromis, les cybercriminels déploient leur propre MFA (authentification multifactorielle) pour prolonger l’accès, par exemple en ajoutant un numéro de téléphone mobile alternatif ou en configurant une application d’authentification afin que l’utilisateur ne puisse pas récupérer l’accès. De plus, les attaquants suppriment toutes les preuves d’activité suspecte pour effacer leurs traces.

Microsoft Azure Accéder

L’objectif de ces cyberattaques est le vol de données et les fraudes financières. Bien qu’il n’y ait pas encore de preuves claires pour identifier les auteurs de ces attaques, on pense qu’elles ont été initiées en Russie et au Nigeria, en se basant sur l’utilisation de fournisseurs d’accès Internet à ligne fixe locaux de ces régions.