Microsoft a créé une fenêtre de temps dans laquelle ses partenaires peuvent – sans autorisation – créer de nouveaux rôles pour eux-mêmes dans les implémentations Active Directory des clients.
Ce qui semble dingue, alors expliquons pourquoi Microsoft a même envisagé cette perspective.
Pour commencer, rappelez-vous que les criminels ont compris qu’attaquer les fournisseurs de services informatiques offre un excellent moyen de trouver de nombreuses autres cibles. Des preuves de cette approche peuvent être trouvées dans les attaques contre ConnectWise, SolarWinds, Kaseya et d’autres fournisseurs qui fournissent des logiciels aux fournisseurs de services informatiques.
Microsoft a pris conscience du fait que ses partenaires seraient également ciblés et a repéré une faiblesse dans les privilèges d’administrateur délégué (DAP) accordés aux partenaires pour gérer les achats de logiciels de leurs clients.
Le correctif de la société consiste en des privilèges d’administration délégués granulaires (GDAP) qui, comme son nom l’indique, permettent toujours aux partenaires d’administrer leurs clients, mais offrent un contrôle plus précis et suivent les principes de confiance zéro afin que les partenaires soient limités à certaines actions.
Aujourd’hui, GDAP “permet au partenaire de demander et au client d’approuver des rôles Azure Active Directory spécifiques, permettant au partenaire d’effectuer des activités d’administration au nom du client”.
Microsoft est très attaché à GDAP. Si désireux que le 30 juin, il annoncé ce qui suit:
Le motif de Microsoft est simple : il souhaite que les partenaires adoptent GDAP afin que leurs interactions avec les clients soient plus sécurisées.
Les partenaires ne conserveront pas ce pouvoir de changer indéfiniment les plates-formes des clients. L’outil ne fonctionnera que jusqu’au 31 octobre 2022, et après cette date, les clients devront à nouveau approuver la création de nouvelles relations GDAP.
Mais pendant les 98 jours qui s’écoulent entre le lancement de cet outil et sa fin de vie, les partenaires peuvent créer des rôles GDAP sans intervention du client.
Le registre soutient que les criminels pourraient également être occupés ces jours-là – en faisant exactement le genre d’attaques contre des partenaires que Microsoft espère que GDAP empêchera.
Microsoft fournira plus d’informations sur l’outil le 11 juillet.
De toute évidence, les clients qui travaillent avec des partenaires Microsoft voudront peut-être discuter de GDAP avant le lancement de l’outil. ®