Microsoft corrige quatre vulnérabilités critiques dans ses services cloud

Microsoft a récemment annoncé qu’elle avait résolu quatre vulnérabilités majeures affectant ses services cloud, notamment Azure DevOps, Azure Automation, Azure Storage et Power Apps. L’une des vulnérabilités, identifiée sous le code CVE-2025-29813, a reçu la note maximale de gravité de 10 sur 10 selon le système CVSS, représentant ainsi une menace sérieuse pour les environnements cloud.

Cette faille touchait directement Visual Studio et la gestion des jetons d’exécution dans les projets hébergés sur Azure DevOps. Elle permettait à un attaquant, ayant un accès minimal, d’échanger un jeton temporaire contre un jeton à long terme, ce qui facilitait un accès persistant et l’escalade des privilèges au sein du projet compromis.

Trois autres vulnérabilités critiques ont également été identifiées par Microsoft :

1. CVE-2025-29827 (CVSS 9,9) : Affected Azure Automation. Un problème d’autorisation permettait à des utilisateurs authentifiés d’augmenter leurs privilèges dans des environnements multi-utilisateurs.

2. CVE-2025-29972 (CVSS 9,9) : Un cas de server-side request forgery (SSRF) dans le service Azure Storage Resource Provider, permettant de simuler des services internes et d’accéder illégalement à d’autres ressources.

3. CVE-2025-47733 (CVSS 9,1) : Autre SSRF affectant Microsoft Power Apps, ne nécessitant pas d’authentification, ce qui favorisait l’exfiltration d’informations via des requêtes malveillantes.

Microsoft a confirmé qu’aucune de ces vulnérabilités n’a été exploitée activement et qu’elles ont toutes été atténuées par le fournisseur, ne nécessitant pas d’intervention directe des utilisateurs.

Cependant, les experts en cybersécurité recommandent des pratiques prudentes :

• Vérifier régulièrement les journaux d’activité des pipelines et des runbooks à la recherche d’accès suspects.
• Appliquer strictement le principe du moindre privilège aux comptes et aux services.
• Séparer les environnements de développement et de production pour réduire les risques.
• Surveiller les alertes d’outils tels que Defender for Cloud.

Cet incident met en lumière les risques liés aux environnements multi-tenant dans le cloud, soulignant l’importance d’une gestion sécurisée des identités et des permissions.

Dans le cadre de son initiative "Secure Future", Microsoft a renforcé son engagement envers la transparence dans la divulgation des vulnérabilités. Depuis début 2024, l’entreprise publie des identifiants CVE pour les failles critiques, même si aucune intervention des clients n’est requise. Une approche également adoptée récemment par Google Cloud pour favoriser une culture de sécurité préventive.

Cette évolution démontre un changement significatif dans l’industrie, où la transparence sur les vulnérabilités est désormais jugée essentielle pour renforcer la cybersécurité.

Sources :

• MITRE CVE
• Microsoft Security Response Center
• Forbes
• Hispasec Una al Día