Une mise à jour d’Active Directory risque d’entrainer des incompatibilités avec les applications clientes

Une mise à jour d’Active Directory risque d’entrainer des incompatibilités avec les applications clientes

Microsoft a annoncé que des changements significatifs seraient apportés à Active Directory via une mise à jour de sécurité qui sera publiée au cours du mois de mars 2020.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Ces changements sont motivés par la découverte d’une vulnérabilité provenant de la configuration par défaut d’Active Directory.
En effet, les fonctionnalités LDAP channel binding et LDAP signing, visant à renforcer la sécurité des échanges entre un serveur Active Directory et ses clients, sont désactivées par défaut.

Selon Microsoft, les valeurs de configuration par défaut peuvent permettre à un attaquant de mener une attaque de l’homme du milieu pour intercepter une requête d’authentification à destination du serveur Active Directory afin de s’authentifier auprès du serveur en question.
L’attaquant serait également en mesure de modifier une requête pour pousser le serveur à effectuer des opérations arbitraires.

Par conséquent, la mise à jour qui sera publiée au mois de mars 2020 va modifier la configuration d’Active Directory pour que les fonctionnalités LDAP channel binding et LDAP signing soient activées par défaut.

La plupart des applications clients ne déploient pas ces mécanismes de signatures pour leur authentification. Ainsi, les administrateurs système sont invités à activer ces fonctionnalités dès maintenant afin de détecter au plus tôt les possibles incompatibilités.

Le chercheur Kevin Beaumont a rédigé une procédure permettant de tester la compatibilité entre un serveur Active Directory et ses clients une fois que les fonctionnalités LDAP channel binding et LDAP signing seront activées. Elle est disponible ici.


Référence

2020 LDAP channel binding and LDAP signing requirement for Windows
Preventing LDAP apocalypse in March 2020 – LDAP signing requirements
ADV190023 | Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing

Référence XMCO

CXN-2020-0559


Arthur Gautier