AccueilActualités informatiqueAzure Active Directory : une faille de sécurité expose les clés privées

Azure Active Directory : une faille de sécurité expose les clés privées

C’est par hasard, comme ils le décrivent eux-mêmes, que les testeurs d’intrusion dirigés par Karl Fosaaen de l’entreprise NetSPI sont tombés sur une chaîne de caractères suspecte dans un manifeste d’enregistrement d’application dans Azure Active Directory, que l’on peut consulter en tant qu’utilisateur AAD dans l’interface Azure. Ce qui s’y trouve sous l’entrée keyCredentials encodée en Base64, s’est révélée être une clé privée au format PFX après décodage. Pour comprendre comment une telle clé pouvait se retrouver dans le manifeste de manière aussi visible, ils ont créé un nouveau compte Automation et activé le crochet « Run-As » dans l’interface. Les administrateurs de serveurs Windows sans Azure connaissent ce concept grâce aux tâches planifiées qui peuvent être configurées et exécutées au nom d’un utilisateur de fonction.

Le fait que chaque utilisateur de l’AAD puisse lire les données clés aussi facilement à partir d’un objet JSON rend possible une extension des droits. Pour le tester, les chercheurs ont créé un compte sans droits et ont construit un script PowerShell qui recherchait automatiquement les certificats du compte d’automatisation. Ils ont ainsi pu prouver qu’un utilisateur sans autres droits pouvait se procurer automatiquement l’accès aux données d’accès avec le rôle de contributeur. Avec ces résultats, ils ont informé le 7 octobre 2021 le Microsoft Security Response Center (MSRC) et la firme de Redmond a réagi. Le 29 octobre, NetSPI a pu constater que des mesures correctives avaient été prises, après avoir auparavant été en contact avec Microsoft et avoir échangé des détails sur la faille.

La faille a reçu le numéro CVE-2021-42306 et a été corrigée. Microsoft n’a pas trouvé dans ses logs d’indication que le problème a été exploité. Bien que les clés privées ne puissent plus être lues, il existe un risque que quelqu’un les ait déjà récupérées auparavant sans autorisation – c’est pourquoi les certificats devraient être remplacés. Ceux qui utilisent des comptes Run-As avec des certificats générés automatiquement dans Azure Active Directory, émis entre le 15.10.2020 et le 15.11.2021, devraient suivre les étapes du dépôt GitHub de Microsoft avec les instructions de réparation. Les utilisateurs d’Azure Migrate et d’Azure Site Recovery peuvent également être concernés. Microsoft décrit dans un blog post quand il faut agir pour ces produits et met à disposition des instructions.

Plus d'articles