Patch Tuesday de juillet - Patch Tuesday Novembre 2018

Etes-vous secure face à une adresse Windows.net ?

Une anomalie laisse présager des possibilités malveillantes via des adresses en Windows.net.

Voici une découverte qui laisse perplexe. Elle semble être une grave anomalie de la part de Microsoft. De nombreuses entreprises travaillent à la mise en place du composant Azure AD Connect de Microsoft. Mission, synchroniser les identités Active Directory pour exploiter le cloud du géant américain. Or deux prérequis de Microsoft sont nécessaires « Leurs interactions posent un gros problème de sécurité, souligne Vincent, un professionnel du secteur. Le composant AD connect doit être Administrateur du domaine d’une part, et pouvoir accéder à une liste d’URL dont celle qui pose problème : *.windows.net« .

En étudiant les sous-domaines de windows.net et il apparait clairement qu’ils ne sont pas tous managés par Microsoft loin de là. Une simple recherche Google le prouve.

Certain nombre de sous-domaines utilisés ou ayant été utilisés sont des phishing :
zscaler
bleepingcomputer
Virus total
Virus total

« Nous travaillons actuellement avec Microsoft mais l’entreprise semble dans l’impossibilité de fournir des URL définitives et de les maintenir à jour en garantissant le bon fonctionnement du composant. Ils continuent donc de recommander d’ouvrir tout *.windows.net à un composant Domain Admin.« 

Cela me pose deux problèmes :
– la lenteur de Microsoft concernant cette veille ;
– le fait que potentiellement, de nombreuses entreprises aient laissé passer cette configuration en se reposant sur l’étiquette Windows.net et sans creuser ce qui se cachait derrière.

Une véritable porte d’entrée (ou de sortie) pour des attaques avancées sans compter que par cette obscurité, Microsoft/USA a la main sur le fonctionnement d’un composant prochainement vital.

Qu’en pensez-vous ?

Au sujet de l'auteur
Auteur Extérieur.

Articles connexes

  1. Lab Reply

    Bonjour,
    sous domaine donc section différente sans aucun impact sur la connexion AAD étant donné qu’il n’hérite pas forcément du domaine racine sur l’aspect identité.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.