Révélé à l’occasion de travaux pour une conférence, le problème associait un ancien service d’authentification et une API en fin de vie. Une combinaison qui, avant correction, offrait un terrain d’attaque inédit dans les annuaires Microsoft.
Le chercheur en sécurité Dirk-jan Mollema a découvert une faille majeure, capable d’octroyer les pleins pouvoirs dans n’importe quel tenant Entra ID, le service d’identité et d’accès qui sous-tend Microsoft 365, Azure et une multitude d’applications SaaS. En combinant un jeton hérité et une API vieillissante, il aurait pu usurper n’importe quel compte, y compris ceux dotés des privilèges les plus élevés, dans la quasi-totalité des organisations à travers le monde s’appuyant sur ce système d’authentification. Microsoft a réagi rapidement et publié un correctif mi-juillet côté serveur, mais cet épisode rappelle combien la négligence vis-à-vis de composants anciens ou oubliés peut fragiliser l’ensemble des infrastructures de sécurité.
