Des vulnérabilités critiques dans la mise en œuvre de l’authentification multifacteur (MFA) dans les environnements cloud où WS-Trust est activé pourraient permettre aux attaquants de contourner MFA et d’accéder à des applications cloud telles que Microsoft 365 qui utilisent le protocole selon une nouvelle étude de Proofpoint.
En raison de la façon dont la connexion de session Microsoft 365 est conçue, un attaquant pourrait obtenir un accès complet au compte d’une cible, y compris ses e-mails, fichiers, contacts, données, etc. Dans le même temps, ces vulnérabilités pourraient également être exploitées pour accéder à d’autres services cloud de Microsoft, y compris des environnements de production et de développement tels qu’Azure et Visual Studio.
Proofpoint a d’abord divulgué publiquement ces vulnérabilités lors de sa conférence virtuelle des utilisateurs Proofpoint Protect, mais elles existent depuis des années. Les chercheurs de l’entreprise ont testé plusieurs solutions de fournisseur d’identité (IDP), identifié celles qui étaient sensibles et résolu les problèmes de sécurité.
Microsoft est bien conscient que le protocole WS-Trust est «intrinsèquement non sécurisé» et dans un document de support, la société a déclaré qu’elle retirerait le protocole pour tous les nouveaux locataires en octobre de cette année, pour tous les nouveaux environnements au sein d’un locataire en avril de 2021 et pour tous les environnements nouveaux et existants chez un locataire en avril 2022.
Dans certains cas, un attaquant peut usurper son adresse IP pour contourner MFA à l’aide d’une simple manipulation d’en-tête de requête, tandis que dans d’autres, la modification de l’en-tête de l’agent utilisateur a amené l’IDP à mal identifier le protocole et à croire qu’il utilisait l’authentification moderne. Selon Proofpoint, dans tous les cas, Microsoft enregistre la connexion comme «authentification moderne» en raison de l’exploit qui passe du protocole hérité au protocole moderne.
Sommaire
Contournement de l’authentification multifacteur
Avec plus d’employés travaillant à domicile que jamais pendant la pandémie, la MFA devient rapidement une couche de sécurité incontournable pour les applications cloud. Cependant, il existe plusieurs méthodes connues pour contourner MFA.
Le premier d’entre eux est le phishing en temps réel dans lequel un attaquant vole un facteur supplémentaire à un utilisateur. Cette méthode peut même être automatisée à l’aide d’outils tels que Modlishka, mais les attaquants doivent fréquemment mettre à jour leurs outils afin d’éviter d’être détectés par les grands fournisseurs de sécurité. En outre, une autre méthode de phishing en temps réel utilisée par les cybercriminels est appelée «réflexion de défi», où les utilisateurs sont invités à remplir leurs informations d’identification MFA sur un site de phishing où ils sont distribués aux attaquants en temps réel.
Le piratage de canal est une autre méthode utilisée pour contourner MFA lorsque le téléphone ou l’ordinateur d’une victime est piraté par des logiciels malveillants. Ce logiciel malveillant peut ensuite utiliser des injections man-in-the-browser ou Web pour obtenir ces informations, tandis que certains logiciels malveillants sont capables de voler les informations d’identification MFA du smartphone d’un utilisateur.
Enfin, une méthode moins chère et plus évolutive de contournement de l’authentification multifacteur tire parti des protocoles hérités pour les attaques sur les comptes cloud. Cette méthode de contournement peut être facilement automatisée et appliquée aux vidages d’informations d’identification à partir du Web ou aux informations d’identification obtenues par hameçonnage.
Alors que MFA peut fournir une couche de sécurité supplémentaire pour protéger les comptes d’utilisateurs, l’utilisation d’une clé de sécurité physique peut fournir une protection encore plus grande pour les informations d’identification des utilisateurs, car un périphérique physique est nécessaire pour accéder à leurs comptes en ligne.
