Des chercheurs en cybersécurité de l’unité 42 de Palo Alto Networks ont révélé les détails d’une nouvelle faille de sécurité affectant le Service Fabric de Microsoft, qui pourrait être exploitée pour obtenir des autorisations élevées et prendre le contrôle de tous les nœuds d’un cluster.
Azure Service Fabric est la plateforme en tant que service de Microsoft et une solution d’orchestration de conteneurs utilisée pour construire et déployer des applications en nuage basées sur des microservices à travers une grappe de machines.
«La vulnérabilité permet à un acteur malveillant, ayant accès à un conteneur compromis, d’élever ses privilèges et de prendre le contrôle du nœud SF hôte de la ressource et de l’ensemble du cluster», a déclaré Microsoft dans le cadre du processus de divulgation coordonnée.
Un cluster Service Fabric est un ensemble de plusieurs nœuds connectés au réseau, chacun d’entre eux étant conçu pour gérer et exécuter des applications composées de microservices ou de conteneurs.
«Bien que ce comportement puisse être observé à la fois dans les conteneurs Linux et les conteneurs Windows, il n’est exploitable que dans les conteneurs Linux, car dans les conteneurs Windows, les acteurs non privilégiés ne peuvent pas créer de liens symboliques dans cet environnement», a déclaré Aviv Sasson, chercheur à l’Unité 42.
L’exécution du code est ensuite réalisée en profitant de la faille pour remplacer le fichier «/etc/environment» sur l’hôte, puis en exploitant une tâche cron horaire interne qui s’exécute en tant que root pour importer des variables d’environnement malveillantes et charger un objet partagé malveillant sur le conteneur compromis qui accorde à l’attaquant un shell inversé dans le contexte de root.