⚠ Vulnérabilité Azure AD / Office 365

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 5031
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

⚠ Vulnérabilité Azure AD / Office 365

Message par charles » 29 avr. 2020 09:57

Les chercheurs de la société Varonis ont publié le 24/04/2020 un article très intéressant démontrant une importante vulnérabilité dans l'agent Azure permettant la synchronisation entre un Active Directory hébergé en local et Azure AD. Dans leur POC les chercheurs démontrent qu'après compromission de l'agent Azure (local), un attaquant est en capacité à récupérer l'ensemble des identifiants et mots de passe qui transitent en clair, des utilisateurs se connectant à Azure AD ou Office 365. Ils démontrent également la possibilité de se connecter sur l'ensemble des comptes avec un mot de passe unique.

https://blogvaronis2.wpengine.com/azure-skeleton-key/

https://www.silicon.fr/office-365-authe ... 38541.html

Silicon.fr a écrit :Interception

Que se passe-t-il lors de la connexion à Office 365 en mode authentification directe ?
L’utilisateur renseigne son identifiant et son mot de passe, qu’Azure AD chiffre avant de les envoyer à l’agent. Celui-ci déchiffre les données, les compare à celles du contrôleur de domaine local et renvoie la réponse à Azure AD, qui peut valider la connexion.

Le processus de validation repose sur l’API LogonUser. L’agent (AzureADConnectAuthenticationAgentService.exe) y fait appel avec le paramètre LOGON32_LOGON_NETWORK, qui implique la communication de mots de passe en clair.

Les chercheurs de Varonis ont pu intercepter ces appels, puis automatiser la démarche en faisant en sorte de faire pointer l’exécutable vers une fausse fonction LogonUser. Celle-ci ajoute, dans un fichier texte, l’identifiant et le mot de passe de tout utilisateur qui se connecte à Office 365.

Une clé pour tous

L’attaque ne s’est pas arrêtée là. L’étape suivante a consisté à modifier la valeur de retour dans la fonction LogonUser, afin de pouvoir s’authentifier à tous les coups avec le même mot de passe.

Pour valider la connexion, LogonUser a besoin d’un jeton d’authentification. À défaut de pouvoir accéder à ceux des utilisateurs, les chercheurs ont extrait celui de l’agent, en utilisant la fonction OpenProcessToken.

À partir de là, on a le contrôle du locataire Azure AD. Une élévation de privilèges jusqu’au niveau d’administrateur global peut permettre d’élargir ce contrôle à l’environnement Azure. Tout en pénétrant éventuellement l’environnement sur site en réinitialisant le mot de passe administrateur d’un domaine.

Microsoft affirme ne pas percevoir de risque sérieux, du fait des prérequis. En l’occurrence, être parvenu à obtenir les droits d’administrateur sur un serveur où l’agent est installé.

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »