Pour gérer vos consentements :

Office 365 : de gros trous dans l’authentification ?

Alerte rouge sur la sécurité d’Office 365 ? Pas d’après Microsoft.

L’éditeur n’entend pas livrer de correctif en réponse aux trouvailles des équipes de Varonis.

Celles-ci avancent une méthode qui permet de pirater certaines installations d’Azure Active Directory (AD). Avec, à la clé :

  • la récupération, sous forme non chiffrée, des logins et des mots de passe de l’ensemble des utilisateurs qui se connectent ;
  • l’accès potentiel à tous ces comptes avec un mot de passe unique.

Identités hybrides

Azure AD donne la possibilité de constituer des identités « hybrides ». Grâce à elles, les utilisateurs peuvent s’authentifier et accéder à toutes les applications, peu importe leur emplacement.

La mise en place de ces identités hybrides passe par l’outil AD Connect. Son rôle : synchroniser les identifiants et les mots de passe entre un annuaire local et une instance cloud Azure AD.

L’une des méthodes consiste à synchroniser le hachage des mots de passe. Dans ce cas, l’authentification se fait côté cloud.

Si on souhaite la conserver en local, il y a la solution de la fédération, moyennant la mise en place d’une infrastructure supplémentaire qui inclut notamment un proxy.

Il existe une alternative plus « légère » : l’authentification directe. Elle repose sur un agent qui écoute et répond aux requêtes de validation du mot de passe. Généralement installé sur le même serveur qu’Azure AD Connect, il peut être déployé sur des serveurs complémentaires pour assurer une haute disponibilité.

Interception

Que se passe-t-il lors de la connexion à Office 365 en mode authentification directe ?
L’utilisateur renseigne son identifiant et son mot de passe, qu’Azure AD chiffre avant de les envoyer à l’agent. Celui-ci déchiffre les données, les compare à celles du contrôleur de domaine local et renvoie la réponse à Azure AD, qui peut valider la connexion.

Le processus de validation repose sur l’API LogonUser. L’agent (AzureADConnectAuthenticationAgentService.exe) y fait appel avec le paramètre LOGON32_LOGON_NETWORK, qui implique la communication de mots de passe en clair.

Les chercheurs de Varonis ont pu intercepter ces appels, puis automatiser la démarche en faisant en sorte de faire pointer l’exécutable vers une fausse fonction LogonUser. Celle-ci ajoute, dans un fichier texte, l’identifiant et le mot de passe de tout utilisateur qui se connecte à Office 365.

Une clé pour tous

L’attaque ne s’est pas arrêtée là. L’étape suivante a consisté à modifier la valeur de retour dans la fonction LogonUser, afin de pouvoir s’authentifier à tous les coups avec le même mot de passe.

Pour valider la connexion, LogonUser a besoin d’un jeton d’authentification. À défaut de pouvoir accéder à ceux des utilisateurs, les chercheurs ont extrait celui de l’agent, en utilisant la fonction OpenProcessToken.

À partir de là, on a le contrôle du locataire Azure AD. Une élévation de privilèges jusqu’au niveau d’administrateur global peut permettre d’élargir ce contrôle à l’environnement Azure. Tout en pénétrant éventuellement l’environnement sur site en réinitialisant le mot de passe administrateur d’un domaine.

Microsoft affirme ne pas percevoir de risque sérieux, du fait des prérequis. En l’occurrence, être parvenu à obtenir les droits d’administrateur sur un serveur où l’agent est installé.

Recent Posts

Cambridge Analytica, le retour : Zuckerberg poursuivi aux États-Unis

Un procureur américain considère Mark Zuckerberg personnellement responsable des conséquences de l’affaire Cambridge Analytica sur…

2 jours ago

ITSM : EasyVista change avec Patrice Barbedette CEO

Patrice Barbedette (ex-Oracle) pilote la nouvelle phase de croissance d'EasyVista en Europe et à l'international,…

2 jours ago

Gestion de données : Databricks muscle sa direction juridique

Databricks a recruté sa responsable juridique et vice-présidente chez DocuSign pour soutenir l'exigence de conformité…

2 jours ago

Microsoft Build 2022 : beaucoup d’IA…et du Metavers au menu

A l’occasion de Build, sa conférence annuelle dédiée aux développeurs, Microsoft a fait la part…

2 jours ago

Taxe GAFA : pas avant 2023…au mieux

Très attendue, la réforme de taxation internationale des géants du numérique - dite taxe GAFA…

2 jours ago

DevOps : GitLab 15 parie gros sur l’observabilité

Avec la v15 de sa plateforme, GitLab ambitionne d'améliorer sa proposition de valeur dans la…

3 jours ago