Pour gérer vos consentements :
Categories: Sécurité

Autologon : un PoC problématique pour la sécurité d’Azure Active Directory

Vulnérabilité ou simple choix de conception ? Entre Microsoft et Secureworks, on ne s’accorde pas sur la terminologie. Mais le premier ne nie pas ce qu’a découvert le second : une méthode permettant à quiconque de récupérer noms d’utilisateurs et mots de passe sur un Azure Active Directory. Un PoC public est là pour le prouver.

Le problème se trouve dans l’authentification unique transparente (autologon). Cette fonctionnalité connecte automatiquement les utilisateurs sur Azure Active Directory lorsque leurs appareils professionnels se trouvent sur le réseau de l’entreprise. Elle implique plusieurs points de terminaison, dont un maintenu pour des raisons de compatibilité avec d’anciennes versions d’Office (antérieure à l’édition 2013, mise à jour de mai 2015).

Le souci avec ce point de terminaison destiné à authentifier noms d’utilisateurs et mots de passe ? Les tentatives de connexion avec autologon ne sont pas inscrites dans les logs. Ce qui ouvre la voie à des attaques de force brute. Aussi bien pour trouver des mots de passe que des identifiants (lorsque AAD signale « mauvais mot de passe »). L’annuaire dispose d’une fonctionnalité Smart Lockout qui bloque les IP effectuant trop de requêtes, mais elle est aisément contournable.

Ni le MFA, ni le contrôle d’accès ne sont efficaces, explique Secureworks. La raison : l’un et l’autre interviennent après la première phase d’authentification.
Du côté de Microsoft, on se refuse à parler de faille. Essentiellement parce que les jetons qu’émet le point de terminaison ne suffisent pas à s’authentifier. Ils doivent être à nouveau présentés à AAD, et les requêtes réalisées à ces fins sont journalisées. L’éditeur travaille néanmoins à un correctif. Celui-ci rétablira la journalisation manquante et permettra de désactiver le point de terminaison.

Photo d’illustration © Kentoh – Shutterstock

Recent Posts

Oracle choisit l’expertise Java et SQL pour son « IA qui code »

Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…

11 heures ago

EPEI (Daniel Kretinsky) vise Atos : les axes directeurs de sa proposition

EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…

13 heures ago

Onepoint veut reprendre Atos : les grandes lignes de son offre

Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…

16 heures ago

AWS prend ses distances avec VMware version Broadcom

Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…

2 jours ago

Avec ZTDNS, Microsoft essuie les plâtres du zero trust appliqué au DNS

Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…

2 jours ago

Atos sur la voie d’un sauvetage ? Point de situation

Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…

2 jours ago