Posté le septembre 18, 2020 à 11:57
DE NOUVELLES VULNÉRABILITÉS PERMETTENT AUX HACKERS DE CONTOURNER L’AMF POUR MICROSOFT 365
De nombreux employés travaillent désormais à domicile en raison de la pandémie de coronavirus. En conséquence, elle a accru les activités des cybercriminels qui ne reculeront devant rien pour profiter de la vulnérabilité du système. Cette fois, il semble que les acteurs aient trouvé un moyen de contourner l’authentification multi-facteurs pour Microsoft 365.
Un nouveau rapport a révélé que les vulnérabilités de Microsoft 365, une plate-forme de productivité bureautique basée sur le cloud, ont permis aux hackers de contourner les systèmes par le biais d’applications cloud.
Le chercheur de Proofpoint a fait cette révélation hier, en disant que la vulnérabilité a ouvert la porte aux hackers pour contourner l’authentification multi-facteur (AMF) pour Microsoft 365.
La vulnérabilité est visible lors de la mise en œuvre de ce qui est connu sous le nom de spécification WS-Trust dans l’environnement cloud.
En raison de la conception de la connexion à la session Microsoft 365, le hacker peut obtenir le contrôle total du système de la cible et de son compte, y compris ses données, ses contacts, ses fichiers et son courrier. Outre l’accès évident dû à la vulnérabilité, les hackers peuvent profiter de l’accès à d’autres services Microsoft basés sur le cloud tels que Visual Studio et Azure.
Proofpoint a initialement révélé ses découvertes au public lors de la conférence virtuelle des utilisateurs de ProofPoint Protect, bien que l’équipe de recherche en sécurité ait déclaré que la vulnérabilité existait depuis des années.
Les chercheurs de Proofpoint examinent différents systèmes de fournisseurs d’identité (IdP) pour identifier ceux qui sont vulnérables afin de corriger les failles de sécurité.
Microsoft est au courant de la vulnérabilité
Microsoft n’ignore pas les problèmes posés par le protocole WS-Trust, comme en témoigne un document de support qu’elle a publié au début de cette année.
Selon ce document, le géant de la technologie a révélé qu’il avait l’intention de cesser de fournir un support pour le protocole et de le remplacer par un nouveau protocole le mois prochain.
Dans certains cas, le hacker modifie l’en-tête de l’agent utilisateur, ce qui fait que le IPD identifie à tort le protocole et pense qu’il utilise une authentification moderne.
Et dans d’autres cas, il usurpe l’adresse IP de la cible pour contourner l’authentification multi-facteurs par une simple manipulation de l’en-tête de la requête.
D’après le rapport de Proofpoint, dans tous les cas, les connexions sont enregistrées par Microsoft comme « Authentification moderne » en raison de l’exploit qui passe du protocole précédent au protocole moderne.
Les attaquants utilisent différentes méthodes pour contourner l’AMF
Alors que de plus en plus d’employés travaillent à domicile, de nombreuses organisations adoptent rapidement une plate-forme plus sûre avec un protocole d’authentification multi-facteurs pour une application cloud. Mais les hackers deviennent plus intelligents et plus compliqués en utilisant différentes méthodes pour contourner le protocole AMF.
L’une de ces méthodes est ce que l’on appelle communément le phishing en temps réel, où le hacker vole le mot de passe de l’utilisateur. Certains hackers ont même trouvé un moyen d’automatiser le processus en utilisant des outils comme Modishka. Pour éviter d’être facilement détectés par l’utilisateur ou les chercheurs en sécurité, les hackers mettent fréquemment à jour leurs outils.
Le « Challenge reflection » est une autre méthode de phishing en temps réel utilisée par les hackers, qui consiste à demander à l’utilisateur de remplir les détails de son AMF. Pendant que l’utilisateur remplit le justificatif que l’expéditeur pense être authentique, les détails sont envoyés directement à l’attaquant en temps réel.
La deuxième méthode utilisée par les hackers est ce que l’on appelle le « channel hacking« . Dans cette méthode, le hacker installe un logiciel malveillant sur l’ordinateur ou le téléphone de la cible. Par la suite, le logiciel malveillant peut utiliser des injections Web ou le « man-in-the-browser » pour voler des données pendant que le logiciel malveillant récupère les informations d’identification de l’AMF sur le système de l’utilisateur.
Une méthode plus évolutive et moins onéreuse pour les hackers de contourner l’AMF consiste à utiliser les protocoles existants pour lancer des attaques sur les comptes en nuage. Les hackers peuvent automatiser et appliquer la méthode de contournement par le biais de transferts d’identifiants à partir des identifiants ou du web obtenus par la méthode par hameçonnage.
Bien que l’AMF soit toujours un protocole de sécurité solide qui offre une couche de sécurité supplémentaire, il existe une autre méthode pour offrir une meilleure sécurité. Avec l’utilisation d’une clé de sécurité physique, l’utilisateur peut assurer une meilleure protection de son système puisque le hacker aurait besoin d’un dispositif physique pour avoir accès aux informations d’identification de l’utilisateur.
Le Microsoft 365 était initialement connu sous le nom d’Office 365, tandis que le WS-Trust est utilisé pour renouveler et valider les jetons de sécurité et fait partie d’une architecture sécurisée d’échange de messages.
Selon les chercheurs, le principal problème est le fait que le WS-Trust n’est pas un protocole sécurisé, et que les IDP de Microsoft ont été implémentés selon ses spécifications avec diverses vulnérabilités.