Azure Active Directory : une faille permet des attaques par force brute contre les identifiants
Le 04 octobre 2021 à 08h50
2 min
Internet
Internet
La faille a été découverte en juin par les chercheurs Counter Threat Unit (CTU, mais pas celle de 24 h Chrono) de SecureWorks. Elle « permet à des acteurs malveillants de réaliser des attaques par force brute à un seul facteur contre AAD sans générer d’évènements de connexion », quand le service Seamless Single Sign-On est activé.
En clair, cela signifie que des pirates peuvent tenter autant de fois qu’ils le souhaitent de deviner un mot de passe. L’infrastructure n’enregistre pas les tentatives, les laissant faire et recommencer sans que quiconque soit alerté.
Le problème se situe, selon les chercheurs, dans l’utilisation faite du protocole Kerberos, souvent utilisé par Microsoft pour tout ce qui touche au SSO. Comme expliqué par Ars Technica, certains codes d’erreurs prévus sont mal enregistrés, ouvrant la voie à des scénarios d’attaques.
Selon les chercheurs, le mécanisme pourrait être utilisé dans n’importe quelle entreprise se servant de Microsoft 365 ou d’Azure Active Directory, y compris celles se servant de Pass-through Authentication (PTA).
Cependant, SecureWorks ne classe cette vulnérabilité qu’en dangerosité « moyenne ». La facilité d’exploitation découle en effet directement de la complexité du mot de passe : ce n’est pas parce qu’une brèche laisse faire la force brute qu’un mot sera facilement trouvé. Les attaques par force brute coûtent cher.
Toujours selon les chercheurs, Microsoft aurait répondu qu’il s’agissait d’un comportement voulu. En d’autres termes, ce ne serait pas un bug, mais une fonction. La société n’a pas répondu aux demandes d’Ars Technica.
Le 04 octobre 2021 à 08h50
Commentaires (6)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/10/2021 à 09h59
Il y a un paquet d’année Apple avait eu le même soucis avec AppleID et des API iCloud qui permettait de brute force les mots de passe.
De mémoire ça avait conduit a un paquet de leak (compte de célébrité, image intime…), maintenant que la vulnérabilité est connue bon courage à MS si il reste sur leur position.
Le 04/10/2021 à 10h09
En réponse court terme, Microsoft va ajouter le log des étapes manquantes, y compris si l’utilisateur/attaquant abandonne une tentative d’authentification avant d’être totalement identifié (ce qui nous intéresse le plus ici).
A vos EDR…
Le 04/10/2021 à 11h49
Comme dirait Jack😅
YouTube
Le 04/10/2021 à 16h30
Il n’y a pas de verrouillage de profil en cas de bruteforce ?
Le 05/10/2021 à 12h16
A ma connaissance les mécanismes de verrouillages se basent sur les logs pour agir. Or comme l’exploitation de cette vulnérabilité permet de ne pas écrire la ligne de log à chaque tentative…
Le 05/10/2021 à 16h19
C’est ballot !