Windows Hello Entreprise ouvre la porte à une nouvelle attaque … – Bien choisir son serveur d impression
Les chercheurs qui enquêtent sur Windows Hello for Business de Microsoft ont découvert de nouveaux vecteurs d'attaque, y compris une porte dérobée Active Directory persistante qui, selon eux, ne sont pas détectés par les outils de sécurité actuels.
Windows Hello Entreprise (WHfB) a été introduit dans Windows 10 et Windows Server 2016 pour apporter une authentification sans mot de passe dans les environnements basés sur Active Directory et réduire le risque de vol de mot de passe. Les utilisateurs peuvent s'authentifier auprès d'un compte Microsoft, Active Directory ou Azure Active Directory avec des informations d'identification liées à l'appareil et utilisant un code biométrique ou PIN. WHfB est construit sur le dessus des normes courantes de l'industrie, notamment Kerberos PKINIT, JWT, WS-Trust ou FIDO2, et il s'appuie sur des mécanismes cryptographiques comme l'attestation de clé TPM ou la liaison de jeton.
Michael Grafnetter, chercheur et formateur en sécurité informatique pour CQURE et GOPAS, a été intrigué par WHfB et a commencé à rechercher l'outil afin qu'il puisse mieux comprendre son fonctionnement interne. Il a découvert un manque de documentation officielle sur le fonctionnement de la fonctionnalité dans Windows, faisant de WHfB une "boîte noire" pour la plupart des administrateurs, auditeurs de sécurité et pentesters, dit-il.
"C'est quelque chose qui m'a un peu déçu", admet Gafnetter, notant que d'autres fonctionnalités de sécurité de Windows manquent de documentation technique: comment Windows stocke les mots de passe, pour un, ou comment les mots de passe sont cryptés. "C'était toujours comme de la fumée et des miroirs", ajoute-t-il.
Pour en savoir plus sur le fonctionnement de WHfB, Grafnetter a passé l'année dernière à étudier la fonctionnalité et les deux derniers mois à plonger profondément. Il présentera ses conclusions lors du prochain salon Black Hat Europe dans un briefing intitulé "Exploiting Windows Hello for Business". Ses recherches ont produit trois vecteurs d'attaque différents contre WHfB. Un a déjà été corrigé; un autre est en cours d'examen. Il espère que ce sera terminé au moment où Black Hat se déplacera.
Grafnetter met en garde contre un vecteur dans un attribut AD critique pour la sécurité appelé msDS-KeyCredentialLink, qui peut stocker des données liées à Windows Hello, FIDO2 ou BitLocker Drive Encryption. Il contient des références aux appareils que les utilisateurs enregistrent auprès d'Active Directory pour l'authentification. Si quelqu'un enregistre un ordinateur portable ou YubiKey avec WHfB, les données sont enregistrées avec msDS-KeyCredentialLink.
C'est un attribut relativement nouveau, dit Grafnetter, et il peut potentiellement être utilisé ou mal utilisé pour la persistance par un attaquant. Si quelqu'un s'empare d'un domaine, il peut cacher et conserver l'accès au même domaine – même si tous les mots de passe du compte sont réinitialisés, explique-t-il. Parce qu'il est nouveau, l'attribut et ses valeurs sont rarement correctement audités par les équipes de sécurité.
Le problème est que peu de gens comprennent cette fonctionnalité et ne savent pas rechercher les problèmes, même si WHfB fait partie de AD dans Windows Server 2016 et ne peut pas être désactivé. Bien qu'il admette que peu d'administrateurs ou d'utilisateurs quotidiens de ces outils et fonctionnalités posent les mêmes questions approfondies qu'un chercheur en sécurité, Grafnetter dit qu'il a parlé avec des experts d'Active Directory qui ne savent pas exactement comment fonctionne la technologie ", ce qui a vraiment pris moi par surprise. "
Même si les entreprises n'utilisent pas activement des outils comme Windows Hello Entreprise tous les jours, elles doivent auditer ces attributs et déclencher une alerte si elles remarquent des changements sur les comptes d'administrateur, note-t-il.
msDS-KeyCredentialLink manque de documentation appropriée sur son comportement et ses implications en matière de sécurité, explique Grafnetter. La documentation du schéma AD indique uniquement que «cet attribut contient des informations clés sur le matériel et l'utilisation». Bien que cela soit vrai, "je pense que cela n'est tout simplement pas suffisant et que son comportement et ses implications en matière de sécurité méritent d'être documentés correctement", dit-il. Savoir comment cette fonctionnalité fonctionne peut aider à découvrir quand elle est utilisée de manière malveillante.
Microsoft est sur la bonne voie avec WHfB, qui, selon Grafnetter, "semble vraiment être l'avenir de l'authentification". Pourtant, la menace de persistance est pertinente pour de nombreux utilisateurs de Windows, et il est clair dès qu'ils commencent à auditer les valeurs de l'attribut msDS-KeyCredentialLink. Chez Black Hat Europe à Londres, il prévoit de publier un outil conçu pour analyser les environnements d'entreprise pour ces problèmes et fournir la visibilité nécessaire sur l'utilisation de Windows Hello Entreprise dans Active Directory. Grafnetter a développé l'outil au cours de la dernière année pour l'aider dans ses recherches, note-t-il.
En plus de son briefing sur Windows Hello for Business, Grafnetter fera une démonstration en direct du module DSInternals PowerShell à Black Hat Europe 2019.
Contenu connexe:
Kelly Sheridan est rédactrice en chef à Dark Reading, où elle se concentre sur les actualités et l'analyse de la cybersécurité. Elle est une journaliste spécialisée dans les technologies commerciales qui a précédemment travaillé pour InformationWeek, où elle a couvert Microsoft, et Insurance & Technology, où elle a couvert … Voir la biographie complète
Plus d'informations
Commentaires
Laisser un commentaire