Posté le octobre 2, 2021 à 8:14
UNE FAILLE DANS L’APPLICATION AZURE DE MICROSOFT PEUT ÊTRE EXPLOITÉE POUR PERMETTRE AUX HACKERS D’ACCÉDER AUX APPAREILS
Les hackers ne cessent de trouver de nouveaux moyens d’attaquer les appareils. L’un des facteurs les plus inquiétants concernant les dernières stratégies utilisées par les hackers est que la plupart d’entre eux développent des logiciels qui permettent d’éviter la détection.
Un récent rapport de chercheurs en cybersécurité a identifié une vulnérabilité de sécurité non corrigée sur les systèmes utilisés par Microsoft Azure Active Directory. Les experts en cybersécurité ont déclaré que les hackers peuvent exploiter cette vulnérabilité pour lancer des attaques par force brute qui ne sont pas détectées.
Au sujet de cette vulnérabilité, les chercheurs de l’unité de lutte contre les menaces (CTU) de Secureworks ont déclaré : « Cette faille permet aux hackers d’effectuer des attaques par force brute à facteur unique contre Azure Active Directory (Azure AD) sans générer d’événements de connexion dans le locataire de l’organisation ciblée. »
La vulnérabilité sur Azure Active Directory
Microsoft Azure Active Directory est une solution d’entreprise de gestion des identités et des accès (IAM) basée sur le cloud. Cette solution a été créée pour être utilisée dans les processus d’authentification unique (SSO) et d’authentification multifactorielle. Cette fonctionnalité fait également partie des composants les plus essentiels de Microsoft 365, anciennement connu sous le nom d’Office 365. L’une des utilisations de cette fonctionnalité est de fournir une plateforme d’authentification à d’autres applications Microsoft utilisant OAuth.
La vulnérabilité détectée par l’équipe de recherche est basée sur la fonction Seamless Single Sign-On. Les entreprises utilisent principalement cette fonction car elle permet aux employés d’accéder automatiquement à leurs comptes lorsqu’ils utilisent des appareils d’entreprise. La fonction permet à un employé de se connecter sans utiliser de mot de passe tant qu’il est connecté au réseau de l’entreprise.
La fonction SSO transparente ne fonctionne pas toujours. Si le processus échoue, l’employé devra revenir à la méthode d’accès par défaut à ses comptes. Il devra saisir son mot de passe sur la page de connexion.
Pour s’assurer que le dispositif fonctionne à la fois de manière automatisée et par défaut, il utilise le protocole Kerberos qui recherche les caractéristiques d’utilisateur correspondantes dans Azure AD. Il émet ensuite un ticket d’octroi (TGT) qui permet aux utilisateurs d’accéder au dispositif ou au compte en question.
Cependant, ce n’est pas le processus suivi dans tous les appareils Microsoft car les utilisateurs qui utilisent Exchange Online avec des clients Office plus anciens qu’Office 2013 et qui n’ont pas installé la mise à jour de mai 2015 utilisent la fonctionnalité « UserNameMixed ». Cette fonctionnalité est un point de terminaison basé sur un mot de passe qui permet au périphérique de générer un jeton d’accès ou un code d’erreur. La réponse de cette fonctionnalité dépendra de l’authenticité des informations d’identification que l’utilisateur a fournies.
La vulnérabilité en question provient de ces codes d’erreur sur cette deuxième fonctionnalité utilisée par les anciens appareils. Lorsqu’un utilisateur utilise les bonnes informations d’identification pour accéder à l’appareil, il recevra des journaux d’ouverture de session qui conduiront au déploiement de jetons d’accès.
Cependant, lorsque « l’authentification d’Autologon à Azure AD n’est pas enregistrée », cela créera une omission qu’un hacker peut exploiter. Cela créera une opportunité pour lancer une attaque par force brute en utilisant le point de terminaison UserNameMixed.
Microsoft a reconnu la vulnérabilité
Lorsque Secureworks s’est rendu compte de la vulnérabilité, elle en a informé Microsoft immédiatement. Cependant, Microsoft a tardé à reconnaître la vulnérabilité car Secureworks l’a informé le 29 juin mais n’a reconnu le problème que le 21 juillet, soit un mois plus tard.
Dans sa réponse, Microsoft a déclaré que la vulnérabilité était « de conception ». Dans une réponse supplémentaire, Microsoft a déclaré que « Nous avons examiné ces revendications et déterminé que la technique décrite n’implique pas une vulnérabilité de sécurité et que des protections sont en place pour aider à assurer que les clients restent en sécurité. »
En résumé, Microsoft a déclaré que la possibilité qu’une attaque par force brute soit lancée à l’aide de cette vulnérabilité était minime, mais que l’entreprise avait mis en place les mesures nécessaires pour garantir que ses utilisateurs sont en sécurité et ne sont pas exposés à de telles attaques.
Microsoft a également déclaré que des mesures avaient été mises en place pour protéger les clients contre les attaques par force brute. Les mesures de protection ont été installées dans les terminaux mentionnés ; les utilisateurs, notamment les entreprises utilisant Azure AD, n’ont donc pas à s’inquiéter à ce sujet.
Le géant technologique a également déclaré que les jetons émis à l’aide de l’API UserNameMixed ne permettaient pas aux utilisateurs d’accéder aux données. En outre, la société a déclaré que pour que l’accès aux données soit accordé, les jetons émis devaient être présentés à Azure AD, ce qui leur permettait ensuite d’accéder aux jetons réels.
« Ces demandes de jetons d’accès sont protégées par l’accès conditionnel, l’authentification multifactorielle Azure AD, la protection de l’identité Azure AD et les journaux de connexion de surface », a déclaré Microsoft. Cela démontre que la possibilité que les données d’une entreprise soient compromises par des hackers utilisant cette vulnérabilité était presque impossible.
