Microsoft : des connexions aux services trop bavardes et des serveurs Exchange pris pour cible

Microsoft : des connexions aux services trop bavardes et des serveurs Exchange pris pour cible

Sale journée

Avatar de l'auteur

Vincent Hermann

Publié dans

Internet

06/10/2015
28
Microsoft : des connexions aux services trop bavardes et des serveurs Exchange pris pour cible

Microsoft fait face à plusieurs critiques dirigées contre la connexion à certains de ses services. Les requêtes font transiter un identifiant unique en clair, permettant de récupérer certaines informations. Parallèlement, l’un des produits de l’éditeur, Exchange, se retrouve impliqué dans une vaste attaque dirigée contre une grosse entreprise.

Mauvaise journée pour l’éditeur de Redmond après la révélation coup sur coup de deux problèmes de sécurité, dont un particulièrement sérieux, mais dont il ne semble pas directement responsable. Le premier concerne la méthode utilisée par Microsoft pour la connexion à plusieurs de ses services, notamment OneDrive et Outlook.com. Lors de la phase « DNS lookup » (conversion d’une adresse IP en nom de domaine), une requête HTTPS est envoyée aux serveurs pour obtenir une autorisation. Malheureusement, cette requête affiche un identifiant unique en clair.

Quand le HTTPS ne fait pas tout

Cette série de caractères, découverte par un blogueur basé à Beijing (Pékin), est un entier 64 bits nommé CID, que Microsoft utilise visiblement souvent avec ses API pour l’identification des utilisateurs.  Cet identifiant apparaissant en clair, il peut être récupéré puis utilisé par une personne malintentionnée pour récolter certaines informations : le nom du compte, sa date de création et la photo servant d’avatar.

Il ne s’agit évidemment pas d’informations très sensibles, mais elles ne devraient dans tous les cas pas être accessibles du tout. Dans certains cas, il est par ailleurs possible d’obtenir certaines informations de paramètres pour quelques services, notamment Calendrier. Si la prévision météo est active, on peut ainsi retrouver l’emplacement choisi par défaut ainsi que l’unité de mesure. La ville par défaut étant souvent celle où réside l’utilisateur (ou la plus proche grande ville), c’est un indice supplémentaire sur sa vie.

Ars Technica, qui s’est fait le relai de l’information, a pu effectuer ses propres tests et a confirmé la situation. Nos confrères ont contacté Microsoft et la société s’est dite au courant du problème. Elle prépare d'ailleurs une communication sur le sujet. Le blogueur, dans son billet, indiquait à la fin que le problème était relativement simple à corriger pour l'éditeur.

Une attaque persistante contre le module OWA d'Exchange

Dans le même temps, un produit de Microsoft est impliqué dans une APT (Advanced Persistent Threat), qui s'appuie sur un malware pour voler des informations. Cette découverte est relayée dans un rapport de la société de sécurité Cybereason, qui raconte comment une entreprise, dont le nom n’a pas été communiqué, l’a contactée pour lui signaler une activité suspecte sur son réseau. Cybereason est donc intervenue pour vérifier l’état du parc, comptant tout de même 19 000 terminaux divers.

Les pirates ont réussi à installer une version compromise de la bibliothèque « OWAAUTH.dll », chargée normalement sur un serveur Exchange de l’entreprise dans le module lié à Outlook Web Access. Cette DLL n’était pas signée et contenait en fait plusieurs portes dérobées lui permettant de recevoir des instructions. Or, comme le signale Cybereason, OWA est à l’interface entre le réseau interne de l’entreprise et Internet. L’entreprise visée avait de plus autorisé son module à recevoir une administration distante, ouvrant un large canal vers sa structure interne en cas de problème.

Conséquence, le malware est resté en place pendant une période de plusieurs mois. Il a pu dérober tous les identifiants complets qui ont circulé, via les jetons d’authentification. OWA étant basé en effet sur la sécurité du domaine et donc ses identifiants, récupérer les identifiants du premier ouvre les portes du second. Il est donc probable que les pirates aient pu obtenir de nombreuses informations. Par ailleurs, le rapport de Cybereason se concentre sur une seule grande entreprise, mais il n’est indiqué nulle part si la contamination a été repérée ailleurs. Le fait qu’il s’agisse d’une APT peut signifier que seule la première était visée, mais les erreurs de configuration de logiciels et matériels sont probablement trop courantes pour ne pas en avoir profité sur d’autres cibles.

Cybereason souligne qu’en dépit d’un souci de configuration, le composant OWA d’Exchange est particulièrement sensible : « Presque par définition, OWA exige des entreprises un lot assez lâche de restrictions ». Ses réglages sont donc à effectuer soigneusement sous peine d’ouvrir de grandes portes vers le réseau de l’entreprise. Selon le rapport, Microsoft ne semble pas directement fautif dans le cas présent, mais ce type de découverte peut entrainer des modifications dans la configuration par défaut ou dans les recommandations qui sont faites aux entreprises. D'autant qu'on ne sait en fait pas comment les pirates ont en premier lieu réussi à installer leur malware.

28
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Le poing Dev – Round 8

Un grand huit émotionnel

22:05 Next 11
Guacamole sur un plateau

Guacamole sur un plateau (1/5) : on monte un bastion sécurisé

Vous cherchez le bastion ?

17:13 WebSécu 10
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

Projet européen sur le cloud : OVHcloud s’est retirée au dernier moment et s’explique

Tu me vois, tu ne me vois plus

16:45 IAWeb 3

Sommaire de l'article

Introduction

Quand le HTTPS ne fait pas tout

Une attaque persistante contre le module OWA d'Exchange

Le poing Dev – Round 8

Next 11
Guacamole sur un plateau

Guacamole sur un plateau (1/5) : on monte un bastion sécurisé

WebSécu 10
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

Projet européen sur le cloud : OVHcloud s’est retirée au dernier moment et s’explique

IAWeb 3
IA Act

AI Act européen : un compromis de haute lutte, de rares interdictions

DroitIA 2
Panneau stop

Apple bloque Beeper, qui permettait d’utiliser iMessage sur Android

WebSoft 15

#LeBrief : faux avis sur Internet, enquêtes sur l’accord Microsoft et OpenAI, cybersécurité aux États-Unis

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 9
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 43
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 29

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 41
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 21
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 6

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 18

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 31
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 8
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 26
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Acheter sur Internet et payer avec sa carte bancaire

La DGCCRF traque les faux avis sur Internet avec son Polygraphe

ÉcoWeb 17

Logo OpenAI

Au Royaume-Uni et aux États-Unis, l’accord entre Microsoft et OpenAI à la loupe

Droit 4

Une main tenant de gros paquets de dollars

87 % des agences états-uniennes ne parviennent pas à respecter les normes de cybersécurité

DroitSécu 3

Florie Marie démissionne de la présidence du Parti Pirate International

Société 8

Commentaires (28)


2show7
Le 06/10/2015 à 13h08

#1

Les joies futures du tout connecté <img data-src=" />


Inny Abonné
Le 06/10/2015 à 13h15

#2

Le système n’aurait-il pas dû rejeter la dll non signée en théorie ?


anonyme_751eb151a3e6ce065481d43bf0d18298
Le 06/10/2015 à 13h17

#3

D’où l’intérêt de bien compartimenter un SI avec des sous-domaines pour réduire la portée de ce type d’attaque.

En tout cas, ça doit chauffer dans les DSI, dont chez moi, où le composant est utilisé.


anonyme_69736061fe834a059975aa425bebeb6d
Le 06/10/2015 à 13h18

#4


Cette DLL n’était pas signée et contenait en fait plusieurs portes dérobées

;)


RaoulC
Le 06/10/2015 à 13h21

#5






Inny a écrit :

Le système n’aurait-il pas dû rejeter la dll non signée en théorie ?


Une vérification de signature d’un fichier ca se patche. Si les pirates ont étés capable de remplacer une dll, alors remplacer le composant qui ferait la vérification devait être possible aussi, sans doutes.
&nbsp;
&nbsp;


ActionFighter a écrit :

D’où l’intérêt de bien compartimenter un SI avec des sous-domaines pour réduire la portée de ce type d’attaque.

En tout cas, ça doit chauffer dans les DSI, dont chez moi, où le composant est utilisé.


Dans quelle administration? C’est juste pour savoir bien entendu <img data-src=" />



mrjay42
Le 06/10/2015 à 13h27

#6

J’ai scrollé huit fois sur toute la page pour trouver le bouton signaler une erreur…pas trouvé. Voici donc:
&nbsp;“Exchange, se retrouve impliqué dans vaste attaque dirigée contre une grosse entrepris”
&nbsp;Il manque le mot “une” :)


Dedrak
Le 06/10/2015 à 13h37

#7

Fallait pas scroller trop loin ;) , le bouton signaler c’est le /!\ dans la barre en haut de la page dès qu’on la fait défiler un peu.


inborn
Le 06/10/2015 à 13h37

#8

Quand tu scroll un peu, un bandeau avec le bouton apparait. ;)
&nbsp;
&nbsp;EDIT: Grilled…


timhor
Le 06/10/2015 à 13h47

#9

ca change rien, la dll compromise permet quand meme de recuperer les credentials des gens comprimis.
&nbsp;
un sous domaine c’est bien mais ca fait pas tout non plus


anonyme_751eb151a3e6ce065481d43bf0d18298
Le 06/10/2015 à 13h52

#10






timhor a écrit :

ca change rien, la dll compromise permet quand meme de recuperer les credentials des gens comprimis.
 
un sous domaine c’est bien mais ca fait pas tout non plus


De ce que je comprend, la dll permet de récupérer les credentials sur un domaine particulier, donc si OWA est situé sur un sous-domaine bien distinct, seul les credientials de ce domaine sont récupérables.



anonyme_97254becd5c5b064755d6772703ed968
Le 06/10/2015 à 14h09

#11

“OWA est à l’interface entre le réseau interne de l’entreprise et Internet. L’entreprise visée avait de plus autorisé son module à recevoir une administration distante, ouvrant un large canal vers sa structure interne en cas de problème.”

Ah les experts sécu , ah làlà !!!

le portail captif d’entrée sur la zone des roadwarriors, ca n’existe pas chez eux ? : directe dans la maison ? via une techno MS (OWA, https) ok…facile donc !

1 - on monte soit un vpn ou au pire un portail captif (qui tombe en zone de transit, avant les zones de décontamination et donc les dmz des mx)
2 - ensuite on arrive su les mires owa …

Là c’est juste énorme !

Note : “ Il est donc probable que les pirates aient pu obtenir de nombreuses informations.” OWA c’est AD derrière , donc ce n’est pas “probable” c’est juste sure !!!!

Et en un mois … oula …


anonyme_97254becd5c5b064755d6772703ed968
Le 06/10/2015 à 14h13

#12

“les erreurs de configuration de logiciels et matériels sont probablement trop courantes”

non.<img data-src=" />

Des erreurs d’architecture système et secu en premier lieu !
C’est pour cela qu’il existe encore, un peu, des archi système et sécu … comme moi ! <img data-src=" />


Aloyse57
Le 06/10/2015 à 14h20

#13






ledufakademy a écrit :

C’est pour cela qu’il existe encore, un peu, des archi système et sécu … comme moi ! <img data-src=" />


Qui ne garantissent en rien le résultat, sans méchanceté aucune <img data-src=" />



anonyme_97254becd5c5b064755d6772703ed968
Le 06/10/2015 à 14h25

#14


  • 10000 !

    On protège les gens de ce qu’on connais, ou pense connaitre mais pas de ce qu’on ignore …. c’est bien là , la plus grosse faille !


eliumnick Abonné
Le 06/10/2015 à 14h40

#15






ledufakademy a écrit :




  • 10000 !

    On protège les gens de ce qu’on connais, ou pense connaitre mais pas de ce qu’on ignore …. c’est bien là , la plus grosse faille !



    Comme quoi sans éducation tu fais mal ton taff <img data-src=" /> Allez retourne à l’école apprendre <img data-src=" />



Stel
Le 06/10/2015 à 17h26

#16

Mon pare feu m’indique que windows 10 a tendance à vouloir communiquer avec les serveurs de microsoft pour tout et n’importe quoi, et c’est pénible.
&nbsp;

&nbsp;Et c’est pas faute d’avoir désavtiver avec les option de win10 “ officiel” ainsi que les “ officieuse ” .


anonyme_af519d6cf6f3253c7cf9ae7f0f74ef16
Le 06/10/2015 à 17h31

#17

la télémétrie utilisée à des fins de debugging est active dans Windows depuis toujours et ce quoi qu’il arrive, c’est le reste des options personnelles que tu peux désactiver seulement dans Windows 10.


Keats`
Le 06/10/2015 à 21h30

#18






mrjay42 a écrit :

J’ai scrollé huit fois sur toute la page pour trouver le bouton signaler une erreur…pas trouvé. Voici donc:
 ”Exchange, se retrouve impliqué dans vaste attaque dirigée contre une grosse entrepris”
 Il manque le mot “une” :)



encore un !
Sans déconner au moins une personne par jour se demande où est-ce bouton depuis la refonte du site (ça date), et pourtant il est encore là-haut… Que NXI engage un ergonome :/



Vincent_H Abonné
Le 07/10/2015 à 06h13

#19






Keats` a écrit :

encore un !
Sans déconner au moins une personne par jour se demande où est-ce bouton depuis la refonte du site (ça date), et pourtant il est encore là-haut… Que NXI engage un ergonome :/


Il s’agissait pourtant bien d’une décision liée à l’ergonomie : toujours présent dans la barre qui suit le défilement de l’écran, ce qui permet de signaler l’erreur sans devoir aller en bas de l’actualité pour remonter ensuite à l’endroit où on s’était arrêté.



Texas Ranger
Le 07/10/2015 à 06h55

#20

je fais un peu d’ergo en ui, j’avoue que c’est pas top comme décision, &nbsp;



 le bouton se fond avec les boutons social media, donc il "parait" invisible; &nbsp;       
les gens recherchent un bouton statique facilement trouvable en scrollant, &nbsp;
l'habitude fait que l'oeil cherche un objet qui "bouge" avec le scroll. &nbsp;
bon après, vous faites comme vous le sentez, c'est pas toujours simple de trouver un nouvel interface.


&nbsp;(edit: de plus c’est moi ou parfois le bouton apparait en dessous parfois à coté ? ou bien vous venez de changer)&nbsp;
&nbsp;rajoutez aussi plusieurs façon d’avertir, comme mettre un piti bouton à coté du sous-titre. /redondance toussa


anonyme_97254becd5c5b064755d6772703ed968
Le 07/10/2015 à 07h40

#21

tous les jours on apprends, c’est mieux pour ne pas s’ennuyer !

… mais plus on vieillit, plus cet apprentissage , ces surprises, se réduisent


eliumnick Abonné
Le 07/10/2015 à 08h30

#22






ledufakademy a écrit :

tous les jours on apprends, c’est mieux pour ne pas s’ennuyer !

… mais plus on vieillit, plus cet apprentissage , ces surprises, se réduisent



Le commentaire auquel tu réponds était un pur troll visant à te faire passer pour un noob car tu n’es pas capable d’anticiper les menaces que tu ne connais pas ^^

Du coup jm’attendais à une réponse du même genre <img data-src=" />



Vincent_H Abonné
Le 07/10/2015 à 09h15

#23






Texas Ranger a écrit :

je fais un peu d’ergo en ui, j’avoue que c’est pas top comme décision, &nbsp;


J’en fais également et je note bien les retours des lecteurs. Il y a des pistes de réflexion sur ce point, donc on vous tiendra au courant, comme d’habitude ;)



anonyme_97254becd5c5b064755d6772703ed968
Le 07/10/2015 à 10h04

#24

quel programme !


MuadJC
Le 07/10/2015 à 12h04

#25






Stel a écrit :

Mon pare feu m’indique que windows 10 a tendance à vouloir communiquer avec les serveurs de microsoft pour tout et n’importe quoi, et c’est pénible.
 Et c’est pas faute d’avoir désavtiver avec les option de win10 “ officiel” ainsi que les “ officieuse ” .

Je ne dis rien, on va me rétorquer que l’actu parlait bien de Windows 10…



Gundar
Le 07/10/2015 à 19h50

#26

Il faut le mettre en clignotant 500x500px au milieu de la page. Avec un jingle sonore quand on passe la souris dessus.

Moi aussi j’ai fait de l’ergo <img data-src=" />


mrjay42
Le 08/10/2015 à 08h43

#27






Vincent_H a écrit :

Il s’agissait pourtant bien d’une décision liée à l’ergonomie : toujours présent dans la barre qui suit le défilement de l’écran, ce qui permet de signaler l’erreur sans devoir aller en bas de l’actualité pour remonter ensuite à l’endroit où on s’était arrêté.


Comme le disait Francis dans la série &nbsp;Malcolm: ne jamais sous-estimé l’importance de la redondance dans un système.
…vous pouvez mettre le même bouton deux fois sur la page. &nbsp;Un dans votre joli bandeau qui ne s’affiche que quand il veut bien, et un fixe que tous les humains pourront voir :)
&nbsp;



BrainBSOD
Le 08/10/2015 à 20h58

#28

exactement encore un parc configuré n’importe comment certainement par des soi-disant admin et autres techniciens pensant:&nbsp; “c’est Windows&nbsp; y a qu’a cliquer sur next et ça marche” et j’en passe car on en entend des aberrations dans les services It