Microsoft France

Vulnérabilité critique du centre du partenaire Microsoft sous attaque, avertit CISA

Lucas Morel

Flaw non corrigé CVE-2024-49035 permet une escalade de privilège non authentifiée, posant des risques de chaîne d’approvisionnement

Une vulnérabilité critique dans la plate-forme du centre partenaire de Microsoft est attaquée, permettant aux attaquants non authentifiés de dégénérer les privilèges, conduisant potentiellement à des violations de données, à un déploiement de logiciels malveillants et à un mouvement latéral à travers les réseaux d’entreprise.

L’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA) a ajouté le défaut, suivi comme CVE-2024-49035, à son catalogue connu vulnérabilités exploitées (KEV), confirmant l’exploitation active dans des environnements réels.

Une vulnérabilité à fort impact dans l’écosystème des partenaires de Microsoft

Le CVE-2024-49035 est un défaut d’escalade des privilèges résultant d’un contrôle d’accès incorrect au sein de Microsoft Partner Center, une plate-forme utilisée par les entreprises et les fournisseurs de services gérés pour gérer les services cloud, les licences et les comptes clients.

Microsoft a révélé la question pour la première fois en novembre 2024, lui attribuant un score CVSS de 8,7. Cependant, la base de données nationale de vulnérabilité (NVD) a par la suite amélioré sa cote de gravité à 9,8 sur 10, citant sa faible complexité d’attaque et son impact élevé sur la confidentialité et l’intégrité. Le défaut permet aux acteurs de la menace d’exploiter le backend de partenaire basé sur les applications Microsoft Power, d’obtenir un accès non autorisé sans nécessiter d’authentification.

Cela soulève des préoccupations concernant les risques potentiels de la chaîne d’approvisionnement, car les attaquants pourraient utiliser des comptes de partenaires compromis pour pivoter dans des environnements clients.

Discover et réponse du calendrier

Les chercheurs en sécurité Gautam Peri, Apoorv Wadhwa et un contributeur anonyme ont identifié la vulnérabilité et l’ont signalé à Microsoft grâce au processus de divulgation de vulnérabilité coordonnée. Fait intéressant, leurs conclusions n’ont pas initialement déclenché des rapports d’exploitation publique, suggérant soit que les attaquants sophistiqués ont développé des exploits indépendamment ou que l’exploitation précoce est restée ciblée et difficile à détecter.

La CISA n’a pas divulgué les détails des attaques en cours, mais a souligné la gravité de la situation dans son avis, notant que les vulnérabilités de cette nature sont des vecteurs d’attaque fréquents pour les acteurs malveillants cherchant à compromettre les réseaux d’entreprise.

Microsoft a automatiquement déployé des correctifs sur le service Power Apps Online Apps qui sous-tend Centre partenaire. Selon le bulletin de sécurité de l’entreprise, « aucune intervention manuelle n’est requise des clients, car cette mise à jour est déployée automatiquement à l’infrastructure de service en ligne. »

Cependant, la CISA a pris des mesures supplémentaires, obligeant que les agences fédérales de direction de Civil Executive (FCEB) appliquent toutes les mises à jour d’ici le 18 mars 2025. L’agence a également exhorté les entreprises du secteur privé à emboîter le pas, soulignant que les organisations s’appuyant sur l’écosystème du cloud de Microsoft devraient traiter cette vulnérabilité comme un risque de priorité élevée.

Menaces persistantes pour les écosystèmes basés sur le cloud

La dépendance croissante à l’égard des services basés sur le cloud et des écosystèmes partenaires a augmenté la surface d’attaque des entreprises, ce qui rend les vulnérabilités comme CVE-2024-49035 particulièrement dangereuses. Le défaut met en évidence les risques persistants associés aux exploits d’escalade de privilèges dans des plateformes d’entreprise largement utilisées.

Alors que Microsoft a déclaré que le problème est contenu dans le service en ligne du Centre partenaire, le lien sous-jacent avec les applications Microsoft Power soulève des préoccupations concernant les risques potentiels d’infrastructure partagée. Si les attaquants prennent pied dans un segment d’un service cloud, ils pourraient tenter de dégénérer les privilèges entre les systèmes interconnectés, en amplifiant l’impact potentiel.

La vulnérabilité coïncide également avec la divulgation d’une autre faille critique, la vulnérabilité Zimbra XSS suivie sous forme de CVE-2023-34192. Bien que les deux faiblesses de sécurité aient été ajoutées au catalogue KEV de CISA, la faille du centre partenaire de Microsoft est particulièrement préoccupante en raison de son potentiel d’affecter les clients d’entreprise à grande échelle.

Contrairement à la faille de Zimbra, qui affecte principalement la sécurité des e-mails, CVE-2024-49035 cible l’écosystème du partenaire central qui sous-tend les services cloud de Microsoft, ce qui en fait une cible plus attrayante pour les cybercriminels qui cherchent à compromettre plusieurs organisations grâce à une seule exploit.

Étapes immédiates pour les organisations

Alors que les cybercriminels continuent d’exploiter les vulnérabilités dans les environnements cloud, les organisations doivent adopter une approche proactive de la cybersécurité. La CISA a recommandé une série de stratégies d’atténuation, y compris la segmentation du réseau, des audits d’accès continu et l’adoption de modèles de sécurité zéro-frust pour limiter l’impact des attaques d’escalade de privilège.

Les entreprises utilisant Microsoft Partner Center doivent surveiller de près leurs systèmes pour des signes d’accès non autorisé et examiner les avis de sécurité de Microsoft pour toute nouvelle mise à jour.

L’exploitation du CVE-2024-49035 souligne le besoin urgent de aux organisations pour hiérarchiser la gestion des patchs et rester en avance sur les menaces émergentes. À mesure que le paysage réglementaire autour de la cybersécurité devient plus strict, les entreprises qui ne garantissent pas leur infrastructure basée sur le cloud pourraient être confrontées non seulement à des perturbations opérationnelles mais aussi à des pénalités de conformité potentielles.

Avec l’avertissement de CISA maintenant public, la fenêtre pour atténuer la menace se ferme rapidement. Les organisations qui dépendent de l’écosystème des partenaires de Microsoft doivent agir rapidement pour s’assurer qu’elles sont protégées contre les attaques en cours avant que les adversaires n’obtiennent un accès plus approfondi aux réseaux d’entreprise.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

1887170134 attack surface programming abstract
Des packages NPM malveillants ont été trouvés pour créer une porte dérobée dans le code légitime
Les développeurs innovent le casino de New Virginia
Les développeurs innovent le casino de New Virginia
Trotz Hinweise: Oracle Demetier Cyberattacke
Trotz Hinweise: Oracle Demetier Cyberattacke