Ces découvertes, effectuées par l’équipe de recherche en sécurité de Semperis, mettent en lumière la possibilité d’effectuer des actions au-delà des contrôles d’autorisation attendus dans l’environnement Microsoft.
Principales conclusions :
Service d’enregistrement des appareils : La vulnérabilité la plus préoccupante permettait d’ajouter ou de retirer des utilisateurs de rôles privilégiés, y compris le rôle d’Administrateur Global, le plus haut niveau d’accès au sein de Entra ID. Cette faille aurait pu faciliter une escalade de privilèges non autorisée et la persistance dans les locataires affectés. Le Microsoft Security Response Center (MSRC) a classé cette vulnérabilité comme étant d’importance critique, impliquant une élévation de privilèges dans Entra ID.
Viva Engage (Yammer) : Possibilité de supprimer définitivement des utilisateurs, y compris des utilisateurs privilégiés tels que les Administrateurs Globaux. Le MSRC a classé cette vulnérabilité dans la catégorie de gravité moyenne.
Risques de mouvements latéraux : Un attaquant exploitant ces vulnérabilités pourrait se déplacer latéralement à travers Microsoft 365, Azure, et toute application SaaS connectée, augmentant considérablement le risque pour les environnements d’entreprise.
Eric Woodruff, chercheur principal en sécurité chez Semperis, explique : « Les clients de Microsoft 365 et Azure connaissent probablement les systèmes et services avec lesquels ils interagissent, tels que Microsoft Teams, SharePoint Online et Exchange Online. Ce que vous ne connaissez peut-être pas, ce sont les centaines d’applications Microsoft qui maintiennent votre environnement Microsoft en fonctionnement. Entra ID est la plateforme d’identité et le moteur d’autorisation de tous les environnements Microsoft 365 et Azure, permettant à ces applications Microsoft d’interagir et de fonctionner ensemble. »
« Grâce à nos recherches, nous avons découvert que certains principaux de services d’applications Microsoft étaient autorisés à effectuer certaines actions qui n’étaient pas définies dans la liste des autorisations accordées. C’est-à-dire que nous pouvions réaliser certaines actions privilégiées alors même que nous ne semblions pas avoir l’autorisation de le faire. »
Bien qu’il n’existe aucune preuve que ces vulnérabilités aient déjà été exploitées, Semperis exhorte les organisations à examiner leurs environnements Microsoft et les journaux d’audit SIEM pour détecter d’éventuels signes d’abus.
« Les organisations qui ne surveillent pas continuellement ces types de changements et qui ne sont pas suffisamment matures pour distinguer les opérations connues des opérations malveillantes dans Entra ID risquent de ne pas détecter l’installation d’un accès persistant ou la modification temporaire de l’attribution de rôles dans Entra ID », poursuit Woodruff.
Semperis a travaillé en étroite collaboration avec le Microsoft Security Response Center (MSRC) pour résoudre ces vulnérabilités. Depuis, Microsoft a mis en place des contrôles supplémentaires pour prévenir toute exploitation future.
L’une des meilleures défenses que les organisations peuvent adopter est de considérer les rôles d’Administrateur d’Applications et d’Administrateur d’Applications Cloud comme étant aussi hautement privilégiés que ceux des Administrateurs Globaux, et d’intégrer des pratiques telles que la séparation des privilèges, l’utilisation de stations de travail à accès privilégié, et l’authentification résistante au phishing comme des exigences essentielles.