Microsoft a silencieusement corrigé une importante faille de sécurité dans son Azure Container Service (ACS) après qu'un chercheur externe ait signalé qu'une fonctionnalité boguée permettait des attaques de contournement de réseau inter-locataires.

La vulnérabilité, documentée par les chercheurs de Mnemonic « le fournisseur de services de cybersécurité », supprime effectivement l'ensemble du réseau et du périmètre d'identité autour des instances Azure Cognitive Search isolées d'Internet et permet au clients un accès inter-locataires au plan de données des instances ACS depuis n'importe quel endroit, y compris les instances sans exposition réseau explicite, et cela après avoir activé la fonctionnalité « Allow access from portal ».

L’exposition, surnommée ACSESSED, a eu un impact sur toutes les instances Azure Container Service qui ont activé la fonctionnalité « Allow access from portal » par un simple clic sur un bouton.

Microsoft a payé une prime de 10 000 $ et a élevé le niveau de risque de modéré à important en raison du risque inter-locataires et de la facilité d'exploitation.