Azure Active Directory : une faille permet des attaques par force brute contre les identifiants

La faille a été découverte en juin par les chercheurs Counter Threat Unit (CTU, mais pas celle de 24h Chrono) de SecureWorks. Elle « permet à des acteurs malveillants de réaliser des attaques par force brute à un seul facteur contre AAD sans générer d’évènements de connexion », quand le service Seamless Single Sign-On est activé.

En clair, cela signifie que des pirates peuvent tenter autant de fois qu’ils le souhaitent de deviner un mot de passe. L’infrastructure n’enregistre pas les tentatives, les laissant faire et recommencer sans que quiconque soit alerté.

Le problème se situe, selon les chercheurs, dans l’utilisation faite du protocole Kerberos, souvent utilisé par Microsoft pour tout ce qui touche au SSO. Comme expliqué par Ars Technica, certains codes d’erreurs prévus sont mal enregistrés, ouvrant la voie à des scénarios d’attaques.

Selon les chercheurs, le mécanisme pourrait être utilisé dans n’importe quelle entreprise se servant de Microsoft 365 ou d’Azure Active Directory, y compris celles se servant de Pass-through Authentication (PTA).

Cependant, SecureWorks ne classe cette vulnérabilité qu’en dangerosité « moyenne ». La facilité d’exploitation découle en effet directement de la complexité du mot de passe : ce n’est pas parce qu’une brèche laisse faire la force brute qu’un mot sera facilement trouvé. Les attaques par force brute coûtent cher.

Toujours selon les chercheurs, Microsoft aurait répondu qu’il s’agissait d’un comportement voulu. En d’autres termes, ce ne serait pas un bug, mais une fonction. La société n’a pas répondu aux demandes d’Ars Technica.