Introduction
Deux nouvelles failles de bypass de connexion Azure ont été découvertes, permettant aux attaquants de valider des mots de passe sans laisser de trace dans les journaux de connexion Azure Entra ID. Ces failles, désignées sous les noms de code GraphGoblin et Graph******, ont été récemment corrigées par Microsoft.
Contexte Technique
Les failles de bypass de connexion Azure utilisent le flux d'authentification OAuth2 ROPC pour contourner les mécanismes de journalisation des connexions. En envoyant une requête d'authentification spécialement conçue à l'endpoint d'authentification Azure, il est possible de récupérer des jetons valides sans que l'activité n'apparaisse dans les journaux de connexion Entra ID.
Les deux premières failles, désignées sous les noms de code GraphNinja et GraphGhost, permettaient de valider des mots de passe sans générer de logs de connexion. Les deux nouvelles failles, GraphGoblin et Graph******, retournent des jetons valides sans laisser de trace dans les journaux de connexion.
Analyse et Implications
Les implications de ces failles sont importantes, car elles permettent aux attaquants de valider des mots de passe sans être détectés. Cela peut être utilisé pour des attaques de force brute ou pour valider des mots de passe volés.
Il est important de noter que Microsoft a corrigé ces failles et a ajouté des mécanismes de journalisation supplémentaires pour prévenir de telles attaques à l'avenir.
Perspective
Il est essentiel de surveiller les mises à jour de sécurité d'Azure et de mettre en œuvre des mesures de sécurité supplémentaires pour protéger les comptes et les données. Les utilisateurs doivent être conscients des risques potentiels et prendre des mesures pour se protéger, telles que l'utilisation d'un gestionnaire de mots de passe et de l'authentification à deux facteurs.
