Vulnérabilité de divulgation d’informations affectant Azure Active Directory

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2021/ALERTE/043

Date de l’alerte: 22/11/2021

APERÇU :

Une vulnérabilité critique libellée CVE-2021-42306, a été récemment identifiée et corrigée sur Microsoft Azure AD.

La vulnérabilité permet à un attaquant de provoquer une atteinte à la confidentialité des données.

DESCRIPTION :

La vulnérabilité CVE-2021-42306 permet la divulgation d’informations et se produit lorsqu’un utilisateur ou une application télécharge des données de clé privée non protégées dans le cadre d’un certificat d’authentification « keyCredentials » vers une application ou un service Azure AD.

La propriété « keyCredentials » est utilisée pour configurer les informations d’authentification d’une application. keyCredentials est accessible à tout utilisateur ou service de Azure AD de l’organisation avec un accès en lecture aux métadonnées de l’application. L’accès aux données de la clé privée peut entraîner une attaque par une élévation de privilèges en permettant à un utilisateur d’usurper l’identité de l’application ou Service Principal concerné.

La vulnérabilité existe en raison de la manière dont les informations d’identification « Exécuter en tant que » du compte d’automatisation sont créées lorsqu’un nouveau compte d’automatisation est configuré dans Azure.

Suite à une mauvaise configuration dans Azure, les informations d’identification « Exécuter en tant que » du compte Automation (certificats PFX) sont stockées en texte clair dans Azure AD et pouvaient être consultées par toute personne ayant accès aux informations sur les enregistrements des applications.

Un attaquant pourrait utiliser ces informations d’identification pour s’authentifier en tant qu’enregistrement d’application. De plus, l’attaquant pourrait exploiter cette faille pour élever les privilèges afin de contribuer à tout abonnement avec un compte d’automatisation et accéder aux ressources des abonnements concernés.

Les services Azure concernés ont déployé des mises à jour qui empêchent le stockage des données de clé privée en texte clair lors de la création de l’application. De plus, Azure Active Directory a déployé une mise à jour qui empêche l’accès aux données de clé privée précédemment stockées.

IMPACT :

  • Atteinte à la confidentialité des données

SYSTEMES AFFECTÉS :

  • Azure Site Recovery
  • Azure Migrate
  • Azure Automation
  • Azure Active Directory

MESURES À PRENDRE :

  • Mise à jour de « Azure services » à sa dernière version;
  • Mise à jour de « Azure Active directory » à sa dernière version ;
  • Les clients informés via « Azure Service Health » doivent effectuer les étapes d’atténuation spécifiées dans la notification pour remédier à toute application et/ou Service Principal dont l’impact est confirmé.

REFERENCES :

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42306
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42306
  • https://www.netspi.com/blog/technical/cloud-penetration-testing/azure-cloud-vulnerability-credmanifest/
Partagez sur vos réseaux.