Azure Active Directory (Azure AD) de Microsoft, le service de gestion des identités et des accès (IAM) basé sur le cloud de Microsoft, comporte une grave faille qui a permis aux pirates d’installer des portes dérobées.
C’est selon des recherches approfondies de la Secureworks Counter Threat Unit (CTU), qui indique que le problème pourrait également permettre aux pirates de modifier les droits d’accès pour contourner l’authentification multifacteur et bloquer l’accès administrateur sans journalisation appropriée, et recueillir des informations sur les configurations de politique pour permettre l’avenir attaques.
Azure AD prend en charge plusieurs méthodes d’authentification, tandis que la version premium prend également en charge les politiques d’accès conditionnel (CAP) qui accordent ou bloquent l’accès en fonction de différents critères, tels que la conformité de l’appareil ou l’emplacement de l’utilisateur. Le service IAM est celui qui stocke ces paramètres, permettant de modifier les CAP via le portail, PowerShell ou des appels d’API.
Une API
Les chercheurs ont cherché à voir quelles API permettent l’édition des paramètres CAP et en ont trouvé trois.
L’un des trois, appelé AADGraph, était le seul permettant aux utilisateurs de modifier tous les paramètres CAP, y compris les métadonnées. Selon les chercheurs, cela permet aux administrateurs de modifier des éléments tels que les horodatages de création et de modification, et étant donné que les modifications apportées à l’aide d’AADGraph n’étaient pas correctement enregistrées, l’intégrité et la non-répudiation des politiques Azure AD étaient donc menacées.
Les chercheurs ont partagé leurs découvertes avec Microsoft fin mai 2022, qui a confirmé les découvertes un mois plus tard mais a déclaré qu’il ne s’agissait pas d’un bogue, mais d’une fonctionnalité. Cependant, un an plus tard, Microsoft a informé les chercheurs de la CTU qu’il prévoyait d’apporter des modifications qui amélioreraient les journaux d’audit et restreindraient les mises à jour CAP via AADGraph.
Secureworks souligne également que Microsoft essaie de déprécier l’API AADGraph « depuis des années ». Pour le moment, le retrait est prévu pour le 30 juin 2023. Microsoft a supprimé la documentation publique de l’API AADGraph.