Nous allons détailler une information que j’ai trouvée notable et amusante même si ses répercussions n’étaient pas immédiatement évidentes. En 2020, le détenteur du domaine corp.com avait décidé de le mettre en vente pour la modique somme d’ 1,7 millions de dollars et souhaitait avoir comme repreneur Microsoft.
La justification ? Selon le possesseur du domaine, un manque de recul de l’éditeur lors de la création de sa documentation aurait mené à la création de configurations vulnérables à une fuite d’informations.
Pour comprendre les aboutissants derrière ce comportement saugrenu, il faut regarder la documentation Microsoft et particulièrement celle liée à la mise en place d’un serveur Active Directory.
Active Directory, kézako ?
Active Directory est une technologie permettant aux administrateurs de mettre en place un annuaire logique de l’entreprise. Dedans on y retrouve les utilisateurs, les postes, les serveurs et les unités organisationnelles permettant de pousser différentes configurations. C’est un outil puissant, polyvalent mais nécessitant un apprentissage pointu afin de pouvoir le configurer correctement.
Dans sa documentation ([1][2]), les ingénieurs de Microsoft ont décidé d’utiliser pour illustrer leurs opérations le domaine CORP (nom court pour corporation :)) associé au nom de domaine corp.com.
Cependant, l’utilisation du nom CORP comme nom de domaine pourrait entraîner des effets de bords indésirables.
Pour faciliter l’expérience utilisateur, le système d’exploitation réalise de nombreuses actions en arrière-plan.
Par exemple, si un utilisateur du domaine XMCO essaye d’accéder au serveur de fichiers « files.xmco.fr », ce dernier peut simplement entrer « files » dans son explorateur de fichiers. C’est le système qui s’occupera de remplir automatiquement le reste du nom si ce dernier n’est pas trouvable.
Les administrateurs suivants les exemples de la documentation à la lettre étaient amenés à créer un domaine CORP et à le configurer.
Dans le cas où les utilisateurs n’étaient pas sur le réseau interne (accès distant ou nomade), les ordinateurs essayaient de contacter le domaine « corp.com » par défaut.
Une expérience technique révélatrice
Afin de démontrer la possibilité de l’attaque, le possesseur du domaine Mike O’Connor a mis en place une interception des flux à destination du domaine corp.com. Via cette expérience, ce dernier a été en capacité d’intercepter près de 375 000 requêtes d’authentification en 2019.
Microsoft recommande ici aux administrateurs d’inscrire comme nom de domaine Active Directory, un nom de domaine qui appartient à l’entreprise.
La vulnérabilité à un million de dollars
Après quelques négociations, M.O’Connor est parvenu à revendre le domaine à la firme de Redmond pour un montant non divulgué. Cependant, les enchères avaient commencé à 1,7 million de dollars. Nous pouvons donc estimer qu’un accord a dû être trouvé dans les environs.
https://krebsonsecurity.com/2020/04/microsoft-buys-corp-com-so-bad-guys-cant/
Nous vous proposons de mettre en lumière les 5 actus chocs de 2020 ! Découvrez les 4 autres :
- SolarWinds Orion : LA compromission de 2020(/2021?)
- De Zero(Logon) en héros !
- Twitter : Give me your bitcoins
- Salut et merci pour le poison ! Flash Player tire sa révérence !
Afin de vous tenir au courant de l’actualité, nous vous recommandons de souscrire à notre service de veille yuno que vous pourrez essayer gratuitement. Vous aurez accès à une veille technique et une veille informationnelle le tout associé à un niveau de criticité.
par Aurélien Denis, Consultant, XMCO