AccueilActualités informatiqueFuite de mots de passe : Microsoft ne réparera pas la faille...

Fuite de mots de passe : Microsoft ne réparera pas la faille Autodiscover avant 5 ans

Le protocole Autodiscover des programmes de messagerie électronique Exchange et Outlook de Microsoft distribue les données de connexion du domaine Windows en texte clair sur le réseau. Dans certaines circonstances, même en dehors du réseau de l’entreprise sur l’Internet public. Les attaquants peuvent noter ces données et les utiliser pour pénétrer dans le réseau de l’organisation concernée ou pour s’y établir et y implanter un code malveillant. Microsoft est au courant de ce problème depuis au moins août 2016, mais ne l’a pas jugé suffisamment important pour colmater la fuite de mots de passe dans l’un de ses produits les plus répandus dans l’environnement des entreprises.

La semaine dernière, la société de sécurité Guardicore avait décrit dans une enquête comment ses chercheurs avaient réussi à enregistrer les mots de passe en texte clair de plus de quatre-vingt-dix mille comptes de domaine Windows sur le réseau public – nous l’avions signalé. Il apparaît maintenant clairement que Microsoft était au courant de ce problème depuis au moins cinq ans, mais n’a pas jugé utile d’intervenir.

Sommaire

Le 10 août 2016, un employé d’une société de conseil au Royaume-Uni, Marco van Beek, a envoyé une description du même problème au service de sécurité de Microsoft. La seule différence avec l’enquête de Guardicore est que la théorie d’attaque de van Beek partait d’un serveur de domaine piraté sur le réseau de l’entreprise, tandis que l’enquête plus récente de Guardicore décrit comment faire en sorte que le programme de messagerie envoie les mots de passe sur le réseau public. Le site d’information anglais The Register a rapporté à l’époque comment Microsoft a rejeté le rapport de vulnérabilité comme une nullité. Un mois après la demande de van Beek, Microsoft a répondu qu’elle n’avait pas l’intention de modifier le comportement du protocole Autodiscover. La société a déclaré que cela ne posait pas de problème à Autodiscover si un serveur du réseau avait déjà été compromis par des attaquants.

Il semble donc que même les experts en sécurité de Microsoft ne connaissaient pas assez bien leurs propres programmes de messagerie pour comprendre qu’Autodiscover pouvait être amené à distribuer des mots de passe au-delà du réseau de l’entreprise. Sans compter qu’en termes de philosophie de défense en profondeur, il est parfaitement logique de corriger des failles de sécurité qui ne deviennent un problème que lorsque l’attaquant compromet d’autres systèmes sur le réseau. D’abord, parce que l’on peut se tromper dans cette évaluation (comme Microsoft) et ensuite, parce qu’il est logique de rendre la vie aussi difficile que possible à l’attaquant qui se trouve déjà dans le réseau. C’est pourquoi il faut toujours corriger tous les problèmes de sécurité d’un logiciel, même si un exploit concret semble peu probable au vu des connaissances actuelles.

Microsoft, cependant, semble voir les choses différemment et n’a jusqu’à présent fait aucun effort pour corriger la vulnérabilité du protocole Autodiscover. Au moins une demande correspondante de heise Sécurité pas répondu jusqu’à présent.

Au moins, Microsoft n’a pas non plus renoncé à la sécurité de son serveur de messagerie Exchange après la débâcle du début de l’année et les attaques incessantes. Microsoft a annoncé qu’elle publiera cette semaine une mise à jour pour Exchange qui inclut une fonction appelée Emergency Mitigation (EM). Cela devrait permettre de combler les lacunes d’Exchange nouvellement découvertes directement sur les serveurs des clients. Le logiciel recherche heure par heure dans le nuage Microsoft les nouveaux correctifs et les installe immédiatement si nécessaire.

Toutefois, les mises à jour de sécurité normales doivent toujours être installées, souligne Microsoft. Ils ne veulent émettre des patchs EM que pour les problèmes de sécurité particulièrement critiques. Le problème de l’autodiscover n’en fait probablement pas partie.

La mise à jour EM fait partie du correctif cumulatif de septembre 2021 pour les serveurs Exchange. Comme la nouvelle fonction nécessite le module URL Rewrite v2 pour IIS, celui-ci est obligatoire pour l’installation d’Exchange à partir de cette mise à jour. En outre, le serveur doit être connecté à l’Office Config Service (OCS) dans le Microsoft Cloud, car sinon la fonction EM ne peut pas trouver de nouveaux correctifs.

Plus d'articles