Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

Breaking news :
Scattered Spider détourne VMware ESXi pour des attaques de ransomware à grande échelle
CastleLoader : une vaste campagne de malwares vise près de 500 organisations dans le monde
Une porte dérobée furtive déployée via un serveur Redis piraté pour échapper aux systèmes de détection

Risques cachés : Comment des comptes invités peuvent compromettre votre environnement Microsoft Entra

Dans un contexte où la collaboration inter-entreprises devient la norme, de nombreuses organisations accueillent régulièrement des utilisateurs invités (B2B Guest) au sein de leur environnement Microsoft Entra ID. Mais une récente découverte soulève un risque inattendu : ces invités, supposément limités dans leurs droits, peuvent en réalité obtenir un contrôle étendu sur votre environnement cloud… sans que vos équipes de sécurité ne s’en rendent compte.

La faille méconnue des abonnements transférables dans Entra ID

La vulnérabilité réside dans la manière dont Microsoft gère les abonnements Azure et les autorisations de facturation (Billing Roles). En effet, un utilisateur invité doté de privilèges de facturation dans son propre locataire peut créer un abonnement dans son environnement d’origine, puis le transférer dans le locataire où il a été invité… tout en conservant des droits d’Owner sur cet abonnement dans votre propre environnement.

Un processus simple mais aux conséquences majeures :

  1. Création d’un abonnement dans le tenant source (celui de l’attaquant) : L’invité, grâce à son rôle de facturation, crée un nouvel abonnement.

  2. Transfert de l’abonnement vers le tenant de la victime : En utilisant des options avancées dans le portail Azure, l’attaquant choisit le répertoire cible.

  3. Obtention automatique du rôle Owner : L’invité devient alors propriétaire de cet abonnement, désormais hébergé dans le tenant de l’organisation cible.

Le plus inquiétant ? Ce comportement est conforme au design de Microsoft et ne déclenche aucune alerte spécifique.

Les vecteurs d’attaque possibles après prise de contrôle d’un abonnement

Une fois la main sur un abonnement dans votre environnement, les portes s’ouvrent à divers scénarios d’escalade de privilèges :

  • Lister les administrateurs du groupe de gestion racine (Root Management Group) : L’attaquant peut désormais identifier les comptes les plus privilégiés de votre environnement.

  • Modifier ou désactiver les politiques Azure par défaut : Les politiques de sécurité liées à cet abonnement peuvent être contournées, rendant la détection d’activités malveillantes beaucoup plus difficile.

  • Créer des identités managées (User Managed Identities) : Ces identités peuvent persister dans l’annuaire Entra ID et être utilisées pour lancer d’autres attaques ciblées ou des campagnes de phishing d’autorisations (consent phishing).

  • Enregistrer de faux appareils dans Entra ID : Un attaquant peut faire passer des appareils malveillants pour des terminaux d’entreprise conformes, contournant ainsi certaines politiques d’accès conditionnel.

Pourquoi ce risque est largement sous-estimé

De nombreuses équipes de sécurité concentrent leurs audits sur les rôles Entra Directory et les autorisations Azure RBAC… mais omettent souvent les Billing Roles, qui opèrent en dehors des contrôles classiques du tenant Azure. Pire encore, la plupart des modèles de menace n’intègrent pas l’hypothèse qu’un simple invité puisse créer et contrôler des abonnements entiers dans l’environnement cible.

Selon les chercheurs de BeyondTrust, des attaques exploitant cette faille sont déjà observées dans des environnements réels.

Quelles mesures de protection mettre en place ?

Microsoft propose désormais des politiques d’abonnement permettant de restreindre la création et le transfert d’abonnements aux seuls utilisateurs autorisés. En complément, voici les recommandations des experts :

  • Activer les politiques de restriction des abonnements.

  • Auditer régulièrement les comptes invités existants, et supprimer ceux qui ne sont plus nécessaires.

  • Désactiver la possibilité pour les invités d’inviter eux-mêmes d’autres invités.

  • Mettre en place une surveillance active sur toutes les créations d’abonnements dans votre tenant.

  • Contrôler l’accès aux appareils et auditer les groupes dynamiques dans Entra ID pour détecter les configurations trop permissives.

  • Examiner régulièrement les alertes du Microsoft Security Center, même en cas de visibilité réduite.

Conclusion : Repenser la sécurité des comptes invités

Cet incident souligne un problème plus large : les mauvaises configurations d’identité sont les nouvelles failles d’exploitation. L’ère où seules les erreurs de code ou les failles réseau étaient redoutées est révolue. Aujourd’hui, les chemins cachés vers les privilèges passent aussi par des faiblesses dans la gouvernance des identités et des accès.

Si votre organisation utilise massivement les fonctionnalités B2B d’Entra ID, il est temps de revoir vos modèles de menace, de renforcer votre visibilité sur les comptes invités, et de contrôler les privilèges associés à tous les rôles de facturation.

Mieux vaut prévenir maintenant que faire face à un “invité” devenu propriétaire discret d’une partie de votre cloud.

cybersecurite.com
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.