Les chercheurs de Proofpoint ont récemment découvert des vulnérabilités critiques dans la mise en œuvre de l'authentification multifacteurs (AMF) dans les environnements cloud où WS-Trust est activé. Ces vulnérabilités pourraient permettre aux attaquants de contourner l'AMF et d'accéder aux applications cloud qui utilisent le protocole, notamment Microsoft 365. En raison de la façon dont la connexion à la session Microsoft Office 365 est conçue, un attaquant pourrait obtenir un accès complet au compte de la cible (y compris aux emails, aux fichiers, aux contacts, aux données et plus encore). Ces vulnérabilités pourraient également être utilisées pour accéder à divers autres services cloud fournis par Microsoft, y compris aux environnements de production et de développement tels qu'Azure et Visual Studio. Les vulnérabilités ont été présentées par Proofpoint lors de Proofpoint Protect, la rencontre en ligne des utilisateurs des solutions Proofpoint. Il est fort probable que ces vulnérabilités existent depuis des années. Nous avons testé plusieurs solutions de fournisseur d'identité (IDP), identifié celles qui étaient sensibles et résolu les problèmes de sécurité.
Les vulnérabilités étaient le résultat du protocole WS-Trust, intrinsèquement non sécurisé, tel que décrit par Microsoft, combiné à divers bugs dans sa mise en œuvre par les IDP. Dans certains cas, un attaquant pouvait usurper son adresse IP pour contourner l'AMF par une simple manipulation de l'en-tête de la requête. Dans d'autres cas, la modification de l'en-tête de l'agent utilisateur a fait en sorte que l'IDP a mal identifié le protocole et a cru qu'il utilisait l'authentification moderne. Dans tous les cas, Microsoft enregistre la connexion comme "authentification moderne" en raison de l'exploit qui passe du protocole ancien au protocole moderne. Inconscients de la situation et des risques encourus, les administrateurs et les professionnels de la sécurité qui surveillent le locataire verraient la connexion comme étant établie via l'authentification moderne.
Les vulnérabilités nécessitent des recherches, mais une fois découvertes, elles peuvent être exploitées de manière automatisée. Elles sont difficiles à détecter et peuvent même ne pas apparaître dans les journaux d'événements, ne laissant aucune trace ou indice de leur activité. Comme l'AMF peut être contournée à titre préventif, il devient nécessaire de mettre en place des mesures de sécurité supplémentaires sous la forme d'une détection et d'une correction des compromissions de compte.
L'authentification multifacteur d'Office 365 de plus en plus utilisée depuis la pandémie
L'authentification multifacteurs (AMF) devient rapidement une barrière de sécurité indispensable pour les applications dans le cloud. Pendant la pandémie mondiale, la demande d'applications basées sur le cloud, comme les plateformes de messagerie et de collaboration, a explosé lorsque les entreprises se sont mises à travailler depuis leur domicile. Les employés ont commencé à accéder aux applications de l'entreprise à partir d'appareils personnels et non sécurisés. Et ils ont commencé à passer plus de temps sur leurs appareils d'entreprise à la maison, à lire des emails personnels potentiellement malveillants ou à naviguer sur des sites web à risque.
Les attaques sur le thème de la COVID-19 ont réussi à profiter des inquiétudes des gens pour compromettre leurs informations d'identification, augmentant le risque d'accès non autorisé aux applications d'entreprise dans le cloud. L'AMF peut contribuer à réduire la surface d'attaque de votre entreprise en ajoutant une couche supplémentaire de sécurité des comptes. Elle complète le modèle de nom d'utilisateur et de mot de passe par un autre facteur que seul l'utilisateur possède, comme son téléphone portable. Pourtant, comme le montrent les nouvelles vulnérabilités, l'AMF n'offre pas à elle seule une sécurité suffisante.
Comment les attaquants contournent l'authentification multifacteurs de Microsoft Office 365
Parmi les méthodes de contournement de l'AMF les plus connues, citons le phishing en temps réel, le détournement de canaux et l'utilisation de protocoles legacy.
Phishing en temps réel
Contrairement au phishing classique, le phishing en temps réel consiste à voler le facteur d'authentification supplémentaire de l'utilisateur. Dans certains cas, l'attaquant peut créer un "proxy" entre le site web cible et la victime. Ce "proxy" ressemble au site web d'origine. En utilisant ce site web imposteur, l'attaquant manipule la victime pour qu'il lui remettre le code d'authentification ainsi que ses identifiants. Ces attaques peuvent être automatisées à l'aide d'outils comme Modlishka. Cependant, les attaquants doivent mettre à jour leurs outils fréquemment afin d'éviter les détections des grands fournisseurs et ont besoin d'une infrastructure plus complexe.
Une autre méthode de phishing en temps réel utilisée par les attaquants est le "challenge reflection", qui consiste à demander aux utilisateurs de remplir les informations d'identification de l'AMF sur un site de phishing et à les distribuer aux attaquants en temps réel. Bien que cette méthode ne nécessite pas d'intermédiaire, elle implique généralement une personne réelle qui facilite l'ensemble du processus de compromission du compte pour chaque compte ciblé.
Détournement de canaux
Le détournement de canaux s'attaque au téléphone ou à l'ordinateur de la victime, généralement à l'aide de malware. Les malware pour PC peuvent utiliser un man-in-the-browser ou des injections Web pour obtenir des informations. Certains malwares volent l'AMF sur le téléphone. Dans certains cas, les attaquants volent même les messages textuels directement via la tour de téléphonie mobile, en s'emparant du numéro de téléphone de la victime ou en piratant son répondeur.
Protocoles legacy
Une méthode moins coûteuse et plus évolutive de contournement de l'AMF exploite les protocoles existants pour les attaques sur les comptes dans le cloud. De nombreuses entreprises continuent de permettre aux protocoles hérités de prendre en charge des dispositifs ou des applications hérités tels que les photocopieuses ou les comptes partagés comme les salles de conférence. Les anciens protocoles de messagerie électronique comme POP et IMAP ne prennent pas en charge l'AMF avec des applications non interactives et ne peuvent donc pas l'appliquer. Cette méthode de contournement est facilement automatisée et appliquée aux téléchargements de justificatifs d'identité depuis le web ou aux justificatifs obtenus par phishing. Même si les entreprises ont commencé à bloquer les protocoles hérités ou à ne les autoriser que pour certains utilisateurs spécifiques, le problème persiste.
Les recherches de Proofpoint sur les menaces dans le cloud ont montré qu'au cours du premier semestre 2020, 97 % des entreprises ont subi des attaques de bruteforce et 30 % d'entre elles avaient au moins un compte dans le cloud compromis. Lorsque nous avons étudié les attaques dans le cloud basées sur le courrier électronique (phishing de justificatifs, malwares, etc.), nous avons constaté que 73 % de tous les locataires surveillés étaient visés et 57 % compromis. En ce qui concerne la sécurité dans le cloud, l'AMF n'est pas une solution miracle. Au fur et à mesure que de plus en plus d'entreprises adopteront cette technologie, de plus en plus de vulnérabilités seront découvertes et exploitées par les attaquants. Toutefois, l'AMF peut améliorer la sécurité globale, notamment lorsqu'elle est combinée à une visibilité des menaces centrée sur les personnes et à des contrôles d'accès adaptatifs.
Combiner l'authentification multifacteurs et la visibilité des menaces pour sécuriser les applications dans le cloud
En tant que première barrière de protection SaaS et IaaS, Proofpoint CASB fournit des contrôles d'accès adaptatifs pour vous aider à empêcher la prise de contrôle des comptes. Ces mesures de sécurité en temps réel sont basées sur le risque, le contexte, le rôle et le profilage des Very Attacked People de Proofpoint. Voici ce que nous vous donnons les moyens de faire :
- Bloquer automatiquement l'accès à partir d'endroits et de réseaux à risque et par des acteurs connus de la menace.
- Appliquer des politiques centrées sur les personnes aux utilisateurs à haut risque et à haut privilège.
- Appliquer des contrôles plus granulaires : AMF, accès via l'isolation du navigateur, connexion via VPN, etc.
Contrairement aux contrôles de sécurité et de conformité statiques qui s'appliquent à chaque utilisateur de la même manière, les contrôles d'accès mis en place par le CASB sont adaptatifs. Ils vous permettent d'appliquer juste la bonne quantité de contrôles de sécurité et de conformité sans imposer un fardeau excessif aux utilisateurs à faible risque.
Compte tenu du risque de contournement de l'AMF, le CASB fournit une visibilité des menaces centrée sur les personnes comme deuxième niveau de protection. Proofpoint combine des renseignements sur les menaces intercanaux (cloud, courrier électronique et autres) avec des données contextuelles spécifiques à l'utilisateur provenant des journaux d'application pour analyser le comportement des utilisateurs et détecter les anomalies dans les applications cloud et les locataires. Grâce à l'apprentissage machine et à une intelligence riche des menaces, nous vous aidons à détecter, à enquêter et à remédier automatiquement à la prise de contrôle des comptes dans le cloud.
Pour aller plus loin :
Pour en savoir plus sur la solution de Proofpoint, téléchargez notre livre blanc, "Adopter une solutions CASB". Pour voir la session sur le contournement de l'AMF pour les applications dans le cloud et la démo des vulnérabilités, inscrivez-vous à Proofpoint Protect ici.