Description

Cet article explique comment contourner les politiques d'accès conditionnel (CAP) d'Entra ID qui exigent une authentification depuis un appareil conforme à Intune.

Ces politiques sont utilisées pour renforcer la sécurité des environnements Microsoft 365 et Azure en exigeant des niveaux spécifiques d'authentification.

L'article mentionne qu'un client ID spécifique (9ba1a5c7-f17a-4de9-a1f1-6178c8d51223) peut être utilisé pour contourner ces restrictions.

Un outil appelé TokenSmith a été développé pour intégrer cette méthode de contournement et est disponible sur GitHub.

Le processus de découverte a impliqué l'analyse d'une application appelée Company Portal, utilisée pour l'enrôlement des appareils Intune.

En utilisant des outils comme BurpSuite et en analysant les journaux Windows, les chercheurs ont trouvé l'URI de redirection correct nécessaire pour l'authentification.

Une fois l'URI identifié, il est possible de récupérer des jetons d'accès et d'actualisation pour MS Graph et AD Graph via des requêtes spécifiques.

Ces jetons permettent de contourner les exigences d'appareil conforme tout en accédant à des ressources protégées.

Les défenses possibles incluent l'exigence de MFA pour l'enrôlement des appareils Intune.

Cependant, des techniques comme le phishing AiTM pourraient encore permettre de contourner ces mesures.

L'article conclut en soulignant les limites actuelles de cette méthode et en appelant à des pratiques de défense renforcées pour les environnements Entra ID.

-> Renforcez l'analyse des journaux Entra, en particulier la surveillance des anomalies ou des connexions suspectes liées à l’ID client ci-dessus pour détecter d'éventuelles attaques.

Article de blog https://lnkd.in/exfgsvXP

POC sur github
https://lnkd.in/eivCbviB

Cette vulnérabilité soulève une fois de plus des questions sur la robustesse des processus de sécurité et de test chez cet acteur majeur du secteur.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.