Source: Lares (blog) — Dans une étude de cas de test d’intrusion en Identity & Access Management, des chercheurs montrent comment une architecture de connexion faible et l’absence de MFA ont permis un accès non autorisé à des systèmes internes et à des données sensibles.

Les testeurs ont exploité un portail MDM externe qui validait les identifiants directement contre l’Active Directory interne, sans multi‑facteur. Après une authentification réussie via Microsoft Online Services, l’utilisateur était redirigé vers des systèmes CRM internes.

Les JWT bearer tokens fournis exposaient des métadonnées inutiles (ID employé, département, identifiants de compte), ce qui élargissait la surface d’attaque. L’architecture de fédération d’identité a créé, « par design », des chemins de mouvement latéral entre points d’authentification externes et ressources internes contenant des données financières et des données clients, faute de segmentation.

Impact observé: accès à Active Directory, contournement de l’authentification Microsoft Online, et accès à des CRM renfermant des enregistrements financiers et des données clients. Le cas met en évidence des lacunes critiques: frontières d’identité insuffisantes, exposition excessive d’éléments dans les JWT, et la fausse idée qu’un écran de login constitue une barrière de sécurité adéquate. 🔐⚠️

IOC et TTPs:

  • IOC: aucun indicateur technique spécifique n’est mentionné.
  • TTPs:
    • Test de crédentiels sur un portail MDM externe sans MFA.
    • Validation des identifiants directement contre Active Directory.
    • Redirection post-auth via Microsoft Online Services vers des CRM internes.
    • Exposition de métadonnées sensibles dans des JWT.
    • Mouvement latéral facilité par la fédération d’identité et l’absence de segmentation.

Conclusion: il s’agit d’une étude de cas technique visant à illustrer une chaîne d’attaque IAM et ses impacts, en soulignant les faiblesses architecturales et d’exposition des tokens.

🔗 Source originale : https://www.lares.com/blog/the-mfa-that-wasnt-part-2-2/

🖴 Archive : https://web.archive.org/web/20250817164408/https://www.lares.com/blog/the-mfa-that-wasnt-part-2-2/