Comment les hackers contournent le Conditional Access de Microsoft Azure AD
Mantra Team
Conditional Access : comment les hackers peuvent passer la protection de Microsoft Azure AD
Conditional Access : comment les hackers peuvent passer la protection de Microsoft Azure AD
Conditional Access : comment les hackers peuvent passer la protection de Microsoft Azure AD
La promesse du Conditional Access de Microsoft Azure Active Directory est forte : protéger votre entreprise en restreignant l’accès à vos applications cloud et on-prem à des utilisateurs et appareils autorisés, sur la base de politiques que vous définissez.
Cependant, et comme souvent, les hackers ont trouvé des moyens de contourner ces protections.
Voici un petit guide pour répondre à vos questions : qu’est ce que le conditional access d’Azure AD ? Comment les hackers peuvent-ils le contourner ?
Qu’est ce que le Conditional Access d’Azure AD ?
Le Conditional Access est une pierre angulaire de la stratégie de cybersécurité cloud zero trust d’une entreprise.
Le Conditional Access permet d’apporter une couche de sécurité supplémentaire en restreignant l’accès aux applications à des appareils de confiance se conformant à certains critères. C’est une approche qui est basée sur l’analyse de facteurs contextuels et l’applications de règles.
Il faut donc le configurer correctement en précisant les règles à respecter et les politiques en cas d’échec.
Comment les hackers peuvent contourner le Conditional Access d’Azure AD ?
Lorsque le hacker va chercher à se connecter, une fois ayant récupéré les identifiants, il va recevoir un message d’erreur.
La clé pour est un hacker qui tente de se connecter est donc d’analyser le message d’erreur envoyé par le système à l’utilisateur en cas d’échec de la tentative de connexion, ce qui va lui donner des indications sur quelle politique en place l’empêche de se connecter.
Mais avant tout il lui faut d’abord des identifiants.
Obtenir des identifiants
Hackers ont de multiples techniques pour obtenir des accréditations :
- Phishing : Les hackers peuvent évidemment utiliser des techniques de spear-phishing qui leur permettent, en répliquant des pages de login, d’obtenir les identifiants de leurs cibles
- Achats sur le dark web : lorsque le hacker ne veut pas s’embêter à récupérer lui même les identifiants, il va passer par des groupes spécialisés(les Initial Access Brokers) qui vendent des accès à des entreprises sur le dark web. Un hacker n’a besoin que d’une carte de crédit (ou plutôt, de cryptomonnaies) pour faire ses achats. Ainsi, on peut par exemple trouver ce type d’annonces sur le dark web, proposant un listing d’entreprise, dans des pays différents (Jordanie, Thailande, Arabie Saoudite…) avec le nombre d’employés, le revenu de l’entreprise, un type d’accès et un prix. Parfois, seuls des identifiants vont être vendus (moins cher qu’un accès complet)
- Password guessing : Enfin, si ils ne souhaitent pas acheter ou phisher, les hackers peuvent parfois tout simplement deviner les mots de passe avec des techniques brute force
C’est une fois qu’ils ont ces identifiants qu’ils vont s’attaquer au contournement du Conditional Access.
Etape #1 pour contourner le Conditional Access : jouer sur certains paramètres
Comme dans toute solution de cybersécurité, un outil n’a de valeur que s’il est déployée efficacement (c’est le cas pour tous les sujets, de l’anti-spam à la formation en passant par la mise en place de l’authentification multi-factorielle).
Parmi les erreurs de paramétrage que l’on peut souvent constater, on peut citer :
- Groupes d'exclusion : il est toujours bon d’avoir un ou deux comptes qui ne sont pas concernés par le Conditional Access. Cela permet, en cas d’urgence, de pouvoir se connecter rapidement et surement. Pour autant, dans de trop nombreuses entreprises, ces groupes ne sont pas maintenus convenablement et on finit parfois par y retrouver des utilisateurs qui n’ont pas besoin de ce privilège, des utilisateurs qui ont quitté l’entreprise… Cela représente autant de vulnérabilités potentielles.
- Mauvaise définition des blocages : le Conditional Access fonctionne en définissant des conditions, et un bloquage si celles-ci ne sont pas réunies. Mais il faut établir la politique de bloquage en cas d’échec des conditions : si ce n’est pas fait cela facilite le travail des hackers.
Etape #2 pour contourner le Conditional Access : contourner les conditions d’accès
Les conditions d’accès des utilisateurs sont un premier filtre. Un exemple de condition d’accès est devoir se connecter depuis une adresse IP pré-définie (passons sur le fait que cela soit particulièrement contraignant…).
Pour un hacker, il faut donc réussir à valider ces premières conditions d’accès.
Et elles peuvent être contournées. Pour cela, il existe plusieurs techniques, selon les conditions choisies et utilisées.
Voici un aperçu de certaines conditions d'accès et des tactiques que hackers peut utiliser pour les contourner.
User sign-in
- Cette condition est basée sur une analyse du comportement utilisateur comparé à un comportement normal (nouveau pays ou IP masquée par exemple)
- Les hackers doivent faire un peu de recherche et utiliser des outils pour imiter autant que possible le comportement de l’utilisateur dont ils utilisent les identifiants - par exemple ne pas utiliser une IP masquée
Plateforme de l'appareil
- Cette condition est basée sur le système d'exploitation de l'appareil.
- Cette condition d’accès est facile à contourner car basée sur un string du navigateur que l’on peut éditer. L’accès conditionnel interprète en effet l’user-agent pour rechercher l’OS, mais un hacker peut simplement l’éditer pour se conformer aux conditions requises.
Localisation
- La condition de localisation est basée sur l’adresse IP. L’admin peut limiter la connexion à certaines adresses IP ou à certains pays.
- Si la condition limite à certains pays, les hackers peuvent la contourner en utilisant un VPN. Si la condition limite à une sélection d’adresses IP, pour les hackers il faudra alors réussir à obtenir un moyen de passer par cette IP (par exemple, en ayant un pied dans le réseau)
Etape #3 pour contourner le Conditional Access : contourner les contrôles d’octroi
Lorsque les conditions d’accès ont été contournées, il est possible que l’accès soit accordé.
Mais parfois, les hackers peuvent être confrontés à des contrôles d’octroi. Ceux-ci sont une deuxième couche de vérification une fois que les conditions d’accès sont satisfaites, et en cas d’échec sur le contrôle d’octroi, l’accès est refusé.
Parmi les différents contrôles d’octroi à satisfaire (et contourner), on peut citer :
L’authentification Multi-Factorielle (MFA)
La MFA est sans doute le contrôle d’accès le plus utilisé. Elle permet d’ajouter un niveau de sécurité en requérant une double authentification via un canal alternatif (notification push sur le téléphone, code à usage unique reçu par SMS…). C’est une excellente politique à adopter mais elle peut être contournée par hackers :
- Via des attaques type man-in-the-middle en utilisant des outils comme Evilginx qui simulent une page de connexion tout en répliquant les actions de l’utilisateur (comme la saisie du code à usage unique) dans la véritable interface de connexion leur permettant de voler des tokens de session MFA
- En utilisant le social engineering pour récupérer les codes à usage uniques envoyés par SMS.
- Via le “MFA bombing” comme cela a été le cas dans l’attaque dont Uber a été victime en 2022. L’envoi d’un très grand nombre de notifications push MFA à valider conjointement avec un message des hackers se faisant passer pour l’équipe IT d’Uber et demandant à la cible de valider les notifications leur a permis d’accéder au compte de la cible.
Un appareil à rattachement hybride Azure AD
- Ce contrôle s’applique à des appareils enregistrés à la fois sur votre Active Directory Azure et/ou sur votre Active Directory on-prem.
- La meilleure option dans ces cas là pour les hackers est d’exécuter l’attaque on-prem, car l’appareil a besoin d’une visibilité réseau directe vers vos contrôleurs de domaine locaux pour être validé. Il est par exemple possible pour les hackers de déployer un malware sur un appareil, ce qui leur permettra d’exécuter l’attaque dans un second temps.
Appareil conforme Intune
- Ce contrôle évalue la conformité d’un appareil avec les politiques de Microsoft Intune, un gestionnaire d’appareils mobiles (dans Intune, celles-ci s’appellent “stratégies de conformité”)
- Pour contourner ce contrôle, l’appareil doit alors être conforme avec les politiques Microsoft Intune de l’entreprise. Pour cela, les attaquants peuvent soit exécuter l’attaque on-prem, soit utiliser des outils pour enregistrer un faux appareil dans Azure AD et ensuite l’inscrire dans les politiques Intune. Enfin, il leur est possible de déployer un malware sur un appareil et d’exécuter l’attaque à partir de celui-ci.
Conclusion
Le conditional access azure apporte des garanties supplémentaires quand aux autorisations d’accès sur le réseau.
Cela étant il est donc important de bien soigner le paramétrage et garder en tête que le conditional access n’est infaillible du fait des informations (les messages d’erreur envoyés par le système peuvent donner des indications précieuses aux hackers) fournies et des contournements possibles des bloquages.
Oups ! Un problème est survenu lors de la soumission du formulaire.
Plus de lecture
Scénarios de phishing
Scénarios de phishing
Scénarios de phishing
7 scénarios de simulation de phishing à essayer
Quelques-uns de nos scénarios de simulation de phishing les plus performants, observés lors de campagnes de phishing.
Mantra Team
Les techniques de contournement des anti-spam
Les techniques de contournement des anti-spam
Les techniques de contournement des anti-spam
Comment les hackers contournent les anti-spam
Les anti-spams sont des outils efficaces ! Mais les hackers se sont adaptés pour les contrer et ont mis au point des techniques pour les contourner et mener à bien des campagnes de phishing.
Mantra Team