Pour gérer vos consentements :

Office 365 : de gros trous dans l’authentification ?

Alerte rouge sur la sécurité d’Office 365 ? Pas d’après Microsoft.

L’éditeur n’entend pas livrer de correctif en réponse aux trouvailles des équipes de Varonis.

Celles-ci avancent une méthode qui permet de pirater certaines installations d’Azure Active Directory (AD). Avec, à la clé :

  • la récupération, sous forme non chiffrée, des logins et des mots de passe de l’ensemble des utilisateurs qui se connectent ;
  • l’accès potentiel à tous ces comptes avec un mot de passe unique.

Identités hybrides

Azure AD donne la possibilité de constituer des identités « hybrides ». Grâce à elles, les utilisateurs peuvent s’authentifier et accéder à toutes les applications, peu importe leur emplacement.

La mise en place de ces identités hybrides passe par l’outil AD Connect. Son rôle : synchroniser les identifiants et les mots de passe entre un annuaire local et une instance cloud Azure AD.

L’une des méthodes consiste à synchroniser le hachage des mots de passe. Dans ce cas, l’authentification se fait côté cloud.

Si on souhaite la conserver en local, il y a la solution de la fédération, moyennant la mise en place d’une infrastructure supplémentaire qui inclut notamment un proxy.

Il existe une alternative plus « légère » : l’authentification directe. Elle repose sur un agent qui écoute et répond aux requêtes de validation du mot de passe. Généralement installé sur le même serveur qu’Azure AD Connect, il peut être déployé sur des serveurs complémentaires pour assurer une haute disponibilité.

Interception

Que se passe-t-il lors de la connexion à Office 365 en mode authentification directe ?
L’utilisateur renseigne son identifiant et son mot de passe, qu’Azure AD chiffre avant de les envoyer à l’agent. Celui-ci déchiffre les données, les compare à celles du contrôleur de domaine local et renvoie la réponse à Azure AD, qui peut valider la connexion.

Le processus de validation repose sur l’API LogonUser. L’agent (AzureADConnectAuthenticationAgentService.exe) y fait appel avec le paramètre LOGON32_LOGON_NETWORK, qui implique la communication de mots de passe en clair.

Les chercheurs de Varonis ont pu intercepter ces appels, puis automatiser la démarche en faisant en sorte de faire pointer l’exécutable vers une fausse fonction LogonUser. Celle-ci ajoute, dans un fichier texte, l’identifiant et le mot de passe de tout utilisateur qui se connecte à Office 365.

Une clé pour tous

L’attaque ne s’est pas arrêtée là. L’étape suivante a consisté à modifier la valeur de retour dans la fonction LogonUser, afin de pouvoir s’authentifier à tous les coups avec le même mot de passe.

Pour valider la connexion, LogonUser a besoin d’un jeton d’authentification. À défaut de pouvoir accéder à ceux des utilisateurs, les chercheurs ont extrait celui de l’agent, en utilisant la fonction OpenProcessToken.

À partir de là, on a le contrôle du locataire Azure AD. Une élévation de privilèges jusqu’au niveau d’administrateur global peut permettre d’élargir ce contrôle à l’environnement Azure. Tout en pénétrant éventuellement l’environnement sur site en réinitialisant le mot de passe administrateur d’un domaine.

Microsoft affirme ne pas percevoir de risque sérieux, du fait des prérequis. En l’occurrence, être parvenu à obtenir les droits d’administrateur sur un serveur où l’agent est installé.

Recent Posts

AWS abandonne WorkDocs, son concurrent de Dropbox

Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…

1 jour ago

Eviden structure une marque de « serveurs IA »

Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…

1 jour ago

SSE : l’expérience se simplifie plus que les prix

Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…

1 jour ago

IA générative : les lignes directrices de l’ANSSI

Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…

2 jours ago

De la marque blanche à l’« exemption souveraine », Broadcom fait des concessions aux fournisseurs cloud

À la grogne des partenaires VMware, Broadcom répond par diverses concessions.

2 jours ago

iPadOS finalement soumis au DMA

iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.

2 jours ago