Azure AD et OAuth : Microsoft a corrigé une faille de sécurité qui permettait de prendre le contrôle d’un compte
Microsoft a corrigé une faille de sécurité importante dans son service Azure Active Directory alias Azure AD, et plus précisément dans les applications OAuth ! Elle permettait à un attaquant d'effectuer une élévation de privilèges et prendre le contrôle du compte de sa cible simplement en connaissant son adresse e-mail.
L'équipe de sécurité de Descope a fait la découverte de cette faille de sécurité dans Azure AD ! Surnommée nOAuth, elle relève d'une mauvaise configuration et est exploitable avec les applications OAuth configurées pour utiliser l'email comme référence pour les autorisations (et la création du jeton d'accès). D'après Descope, ceci est problématique, car "dans Microsoft Azure AD, la déclaration d'email est à la fois mutable et non vérifiée, elle ne doit donc jamais être utilisée comme identifiant."
En exploitant la faille de sécurité nOAuth, il est possible de prendre le contrôle d'un compte cible en quelques étapes :
- L'attaquant accède à son tenant avec un compte administrateur Azure AD
- L'attaquant change l'e-mail de ce compte pour le remplacer avec l'adresse e-mail de sa victime
- L'attaquant utilise l'option "Se connecter avec Microsoft" sur un site ou une application vulnérable (authentification OAuth)
- L'attaquant a accès au compte de la victime, sans avoir à connaître son mot de passe.
D'ailleurs, même si la victime n'a pas de comptes Microsoft, l'attaque peut fonctionner selon la configuration de l'application : "Si l'application fusionne les comptes d'utilisateurs sans validation, l'attaquant a désormais le contrôle total du compte de la victime, même si cette dernière n'a pas de compte Microsoft." - Une fois que le compte est compromis, c'est la porte ouverte à d'autres actions : persistance, vol de données, mouvements latéraux, etc...
Une vidéo de démonstration a été publiée par Descope :
Toujours d'après Descope, il y a de nombreuses entreprises vulnérables à ce type d'attaques ! Par exemple, il y a une application de conception qui compte des millions d'utilisateurs mensuels.
Désormais, Microsoft a mis en ligne un rapport à ce sujet et les équipes internes ont fait le nécessaire pour protéger les utilisateurs de la vulnérabilité nOAuth : "Pour protéger les clients et les applications susceptibles d'être vulnérables à l'escalade des privilèges, Microsoft a déployé des mesures d'atténuation afin d'omettre les demandes de jetons émanant de propriétaires de domaines non vérifiés pour la plupart des applications." - Les entreprises concernées vont recevoir une notification par e-mail de la part de Microsoft.
