Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Rapport du National Cybersecurity and Communications Integration Center’s (NCCIC) portant sur Office 365

Posted by Teruin laurent sur mai 17, 2019


Le rapport du National Cybersecurity and Communications Integration Center’s (NCCIC) portant sur Office 365

https://www.us-cert.gov/ncas/analysis-reports/AR19-133A

Version Francaise

Au fur et à mesure que le nombre d’entreprises migrant leurs services de messagerie vers Microsoft Office 365 (O365) et d’autres services dans les nuages augmente, le recours à des sociétés tierces qui transfèrent les entreprises vers le cloud augmente également. Les organisations et leurs partenaires tiers doivent être conscients des risques liés à la transition vers O365 et d’autres services cloud.

Ce rapport d’analyse fournit des informations sur ces risques ainsi que sur les vulnérabilités de configuration des services dans les nuages ; ce rapport comprend également des recommandations pour atténuer ces risques et vulnérabilités.

Description :

Depuis octobre 2018, la Cybersecurity and Infrastructure Security Agency (CISA) a mené plusieurs missions avec des clients qui ont utilisé des partenaires tiers pour migrer leurs services de messagerie vers O365.

Les organisations qui ont utilisé une tierce partie ont eu une combinaison de configurations qui ont réduit leur posture de sécurité globale (par exemple, audit des boîtes aux lettres désactivé, journal d’audit unifié désactivé, authentification multifactorielle désactivée sur les comptes administrateurs). De plus, la majorité de ces organisations ne disposaient pas d’une équipe de sécurité informatique spécialisée pour se concentrer sur leur sécurité dans le cloud. Ces failles de sécurité ont entraîné des compromis et des vulnérabilités au niveau des utilisateurs et des boîtes aux lettres.

Détails techniques

La liste suivante contient des exemples de vulnérabilités de configuration :

L’authentification multi-facteurs pour les comptes administrateurs n’est pas activée par défaut : Azure Active Directory (AD) Global Administrators dans un environnement O365 possède le plus haut niveau de privilèges d’administrateur au niveau du locataire. C’est l’équivalent de l’administrateur de domaine dans un environnement AD sur site. Les comptes Azure AD Global Administrator sont les premiers comptes créés pour que les administrateurs puissent commencer à configurer leur locataire et éventuellement migrer leurs utilisateurs. L’authentification multifactorielle (AMF) n’est pas activée par défaut pour ces comptes Une politique d’accès conditionnel par défaut est disponible pour les clients, mais l’administrateur global doit explicitement activer cette politique afin d’activer l’AMF pour ces comptes. Ces comptes sont exposés à l’accès à Internet parce qu’ils sont basés dans le nuage. S’ils ne sont pas immédiatement sécurisés, ces comptes en nuage pourraient permettre à un attaquant de maintenir la persistance lorsqu’un client migre des utilisateurs vers O365.

Audit de boîte aux lettres désactivé : L’audit des boîtes aux lettres O365 enregistre les actions effectuées par les propriétaires de boîtes aux lettres, les délégués et les administrateurs. Microsoft n’a pas activé l’audit par défaut dans O365 avant janvier 2019. Les clients qui ont acheté leur environnement O365 avant 2019 devaient explicitement activer l’audit des boîtes aux lettres. De plus, l’environnement O365 n’active pas actuellement le journal d’audit unifié par défaut. Le journal d’audit unifié contient les événements Exchange Online, SharePoint Online, OneDrive, Azure AD, Microsoft Teams, PowerBI et autres services O365 Un administrateur doit activer le journal d’audit unifié dans le Security and Compliance Center avant de pouvoir exécuter des requêtes.

Sync. mot de passe activée : Azure AD Connect intègre les environnements sur site avec Azure AD lorsque les clients migrent vers O365. Cette technologie permet de créer des identités Azure AD à partir d’identités AD sur site ou de faire correspondre des identités Azure AD précédemment créées avec des identités AD sur site. Les identités sur site deviennent les identités faisant autorité dans le nuage. Afin de faire correspondre les identités, l’identité AD doit correspondre à certains attributs. En cas de correspondance, l’identité Azure AD est signalée comme étant gérée sur site. Il est donc possible de créer une identité AD qui correspond à un administrateur dans Azure AD et de créer un compte sur site avec le même nom d’utilisateur. Une des options d’authentification pour Azure AD est « Password Sync. » Si cette option est activée, le mot de passe des locaux écrase le mot de passe dans Azure AD. Dans cette situation particulière, si l’identité AD sur site est compromise, un attaquant pourrait se déplacer latéralement vers le nuage lorsque la synchronisation se produit. Remarque : Microsoft a désactivé la possibilité de faire correspondre certains comptes administrateurs à partir d’octobre 2018. Toutefois, les entreprises peuvent avoir effectué l’appariement des comptes administrateurs avant que Microsoft ne désactive cette fonction, synchronisant ainsi des identités qui ont pu être compromises avant la migration. De plus, les comptes d’utilisateurs réguliers ne sont pas protégés par la désactivation de cette fonctionnalité.

Authentification non prise en charge par les protocoles existants : Azure AD est la méthode d’authentification que O365 utilise pour s’authentifier avec Exchange Online, qui fournit des services de messagerie électronique. Il existe un certain nombre de protocoles associés à l’authentification Exchange Online qui ne prennent pas en charge les méthodes d’authentification modernes dotées de fonctions MFA. Ces protocoles comprennent le protocole POP3 (Post Office Protocol), IMAP (Internet Message Access Protocol) et SMTP (Simple Mail Transport Protocol). Les anciens protocoles sont utilisés avec les anciens clients de messagerie qui ne prennent pas en charge l’authentification moderne. Les protocoles hérités peuvent être désactivés au niveau du Tenant ou de l’utilisateur. Toutefois, si une organisation a besoin de clients de messagerie plus anciens comme une nécessité commerciale, ces protocoles ne seront pas désactivés. Cela laisse les comptes de messagerie exposés à Internet avec seulement le nom d’utilisateur et le mot de passe comme méthode d’authentification principale. Une façon d’atténuer ce problème consiste à faire l’inventaire des utilisateurs qui ont encore besoin d’utiliser un client de courriel et des protocoles de courriel patrimoniaux. L’utilisation des politiques d’accès conditionnel d’Azure AD peut aider à réduire le nombre d’utilisateurs qui ont la capacité d’utiliser les méthodes d’authentification des protocoles existants. Cette mesure réduira considérablement la surface d’attaque pour les organisations.

Solution

La CISA encourage les organisations à mettre en œuvre une stratégie organisationnelle de cloud computing pour protéger leurs actifs d’infrastructure en se défendant contre les attaques liées à leur transition O365 et en sécurisant leur service O365[6] Plus précisément, la CISA recommande que les administrateurs mettent en œuvre les mesures d’atténuation et les meilleures pratiques suivantes :

  • Utiliser l’authentification multifactorielle. C’est la meilleure technique d’atténuation à utiliser pour protéger les utilisateurs d’O365 contre le vol de justificatifs.
  • Activer la journalisation unifiée des audits dans le Security and Compliance Center.
  • Activez l’audit des boîtes aux lettres pour chaque utilisateur.
  • Assurez-vous que la synchronisation des mots de passe Azure AD est planifiée et configurée correctement, avant de migrer les utilisateurs.
  • Désactivez les protocoles de messagerie existants, s’ils ne sont pas requis, ou limitez leur utilisation à des utilisateurs spécifiques.
Publicités

Répondre

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

 
%d blogueurs aiment cette page :