Microsoft a corrigé une faille d’authentification Azure Active Directory (Azure AD) qui pourrait permettre aux acteurs de la menace d’élever les privilèges et potentiellement de prendre entièrement le contrôle du compte de la cible.

Cette mauvaise configuration (nommée nOAuth par l’équipe de sécurité de Descope qui l’a découverte) pourrait être utilisée de manière abusive dans des attaques d’escalade de compte et de privilège contre les applications Azure AD OAuth configurées pour utiliser la demande d’e-mail des jetons d’accès pour l’autorisation.

Un attaquant n’avait qu’à remplacer l’adresse e-mail de son compte administrateur Azure AD par l’adresse e-mail de la victime et utiliser la fonctionnalité « Se connecter avec Microsoft » pour obtenir l’autorisation sur l’application ou le site Web vulnérable.

Cela leur permet de prendre le contrôle total du compte de la cible si les ressources ciblées autorisent l’utilisation d’adresses e-mail comme identifiants uniques pendant le processus d’autorisation.

Cette tactique peut également être utilisée lorsque la victime n’a même pas de compte Microsoft, et c’était une méthode d’attaque réalisable car Azure AD n’exigeait pas que les modifications apportées aux e-mails soient validées.

« Si l’application fusionne des comptes d’utilisateurs sans validation, l’attaquant a désormais un contrôle total sur le compte de la victime, même si la victime n’a pas de compte Microsoft », a déclaré Descope.

« Après une connexion réussie, l’attaquant dispose d’un champ ouvert en fonction de la nature de l’application ou du site qu’il a pris en charge. Il peut établir la persistance, exfiltrer des données, explorer si un mouvement latéral est possible, etc. »

Parmi plusieurs grandes organisations vulnérables à ce type d’attaque, Descope a découvert une application de conception avec des millions d’utilisateurs mensuels, une société d’expérience client cotée en bourse et une appartenant à un important fournisseur de conseil multi-cloud.

Descope a également partagé une vidéo (intégrée ci-dessous) détaillant comment l’exploitation de cette mauvaise configuration d’authentification AAD peut conduire à une prise de contrôle complète du compte et des informations à ce sujet peuvent être évitées.

Microsoft a corrigé la configuration nOAuth via des atténuations publiées aujourd’hui, suite à un rapport initial envoyé par Descope le 11 avril 2023.

« Microsoft a identifié plusieurs applications multi-locataires avec des utilisateurs qui utilisent une adresse e-mail avec un propriétaire de domaine non vérifié », a déclaré Redmond.

« Si vous n’avez pas reçu de notification, votre application n’a pas consommé de réclamations par e-mail avec des propriétaires de domaine non vérifiés.

« Pour protéger les clients et les applications susceptibles d’être vulnérables à l’élévation des privilèges, Microsoft a déployé des mesures d’atténuation pour omettre les demandes de jeton des propriétaires de domaine non vérifiés pour la plupart des applications. »

La société a également fortement conseillé aux développeurs d’évaluer soigneusement la logique commerciale d’autorisation de leurs applications et de respecter ces directives pour se protéger contre tout accès non autorisé.

En outre, les développeurs sont encouragés à adopter ces meilleures pratiques recommandées pour la validation des jetons lors de l’utilisation de la plateforme d’identité Microsoft.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *