Bindpocalypse 2022 : des nouvelles de CVE-2021-42287

Détails de la vulnérabilité :

Durant l'automne 2021, Microsoft a identifié un problème de sécurité dans Active Directory Domain Services (ADDS), connu sous le nom de CVE-2021-42287. Cette vulnérabilité peut permettre à des pirates de se faire passer pour des contrôleurs de domaine. Le problème consiste en une vulnérabilité de contournement de sécurité qui touche le certificat PAC (Privilege Attribute Certificate) de Kerberos.

Sur son site d'assistance, Microsoft a fourni des informations supplémentaires sur le problème et suggéré des méthodes de correction. Toutefois, les administrateurs ont immédiatement découvert que les mesures correctives entraînaient un autre problème : les serveurs corrigés n'autorisaient plus les appareils macOS à se lier à Active Directory.

Problème provoqué par le premier correctif :

Le 22 mars 2022, Microsoft a complété les informations sur la vulnérabilité CVE-2021-42287 en mentionnant l'erreur lors de la liaison des appareils tiers à Active Directory. Dans la section « problèmes connus » :

« Après l'installation des mises à jour Windows sorties le 9 novembre 2021 ou ultérieurement sur les contrôleurs de domaine (DC), certains clients ont pu voir que le nouvel identifiant d'événement d'audit 37 était consigné après certaines opérations de définition ou de modification de mot de passe telles que … Modifier le mot de passe pour les appareils tiers de domaines connectés. »

Le problème ne concernait pas spécifiquement les appareils macOS. Mais les administrateurs Apple actifs sur Jamf Nation ont constaté que le correctif, une fois entièrement appliqué, rompait la liaison avec Active Directory.

Qu'est-ce que le « mode d'application » ?

Pour encourager les tests dans les environnements des clients, Microsoft a créé une clé de registre (comparable à une clé de préférence dans l'univers Apple) qui définit des niveaux de journalisation lors de l'activation du correctif. Cette clé de registre n'est pas présente par défaut. L'administrateur doit donc l'ajouter manuellement pour tester le logiciel. Le niveau 1 ne déclenchait que la journalisation, le niveau 2 activait entièrement le correctif. Et c'est le passage au niveau 2 qui interrompait la liaison des appareils macOS. À l'origine, Microsoft devait forcer l'application de ce correctif le 12 juillet 2022 et l'activer sur tous les serveurs. L'opération a été reportée au 11 octobre 2022 pour permettre aux administrateurs de faire des tests et de signaler les problèmes rencontrés.

Dans les organisations où les appareils Apple sont encore liés à une instance locale d'Active Directory (AD), nous encourageons vivement les administrateurs à consulter les notes de version pour Windows Server et à s'informer sur Jamf Nation. En effet, les notes de version ne mentionnent pas toujours spécifiquement les problèmes qui peuvent affecter leurs environnements Apple.

Résolution du problème :

Appliquer le correctif, tester, évaluer et documenter.

Le 12 avril 2022, Microsoft a publié une nouvelle version du correctif en détaillant la procédure de mise à jour de Windows Server. Pour l'instant, aucun correctif client n'est nécessaire pour macOS. Toutefois, dans les environnements mixtes composés d'appareils Windows et macOS, nous recommandons de surveiller les canaux de publication Windows et Apple au cas où de nouveaux correctifs seraient distribués.La version corrigée de Windows 11, qui élimine ce problème d'« erreur 37 », est disponible via les canaux de diffusion des versions bêta et préliminaires.

Mentionnons par ailleurs que ces trois dernières années, lors des sessions de la World Wide Developer Conference (WWDC), Apple a toujours recommandé d'éviter la liaison des appareils à Active Directory. Les rares exceptions concernent la gestion des déploiements d'entreprise :

• Les environnements d'appareil partagés, dans lesquels les machines sont associées à plusieurs utilisateurs et ne quittent jamais le réseau local

• L'application des exigences SmartCard PIV/CAC pour l'accès aux appareils et la validation des certificats

Dans toutes les autres situations, les administrateurs sont vivement encouragés à envisager des alternatives à la liaison. Le fabricant suggère notamment la MDM pour gérer les appareils, et des outils comme Kerberos SSO Extensions pour la gestion des utilisateurs.

Un avenir sans liaison :

Ce n'est pas la première fois que l'intégration des appareils macOS à Active Directory pose problème. Avec la version initiale d'OS X Lion en 2011, par exemple, la liaison a été entièrement rompue. Dans d'autres cas, elle a été source d'importantes difficultés pour les administrateurs : quand les appareils ne communiquent plus avec AD, le trousseau de l'utilisateur cesse de fonctionner, FileVault ne synchronise plus les mots de passe et, de manière générale, les utilisateurs finaux ne parviennent plus à s'authentifier sur leurs appareils.

Des outils comme Jamf Connect, Kerberos SSO Extension d'Apple pour les entreprises et NoMAD ont été créés spécifiquement pour éviter ces problèmes.

Parallèlement à cela, on observe une nette tendance à l'adoption des environnements de travail à distance et hybrides. De nombreuses organisations se tournent vers des solutions basées sur le cloud pour gérer leurs parcs d'appareils, leurs applications et leurs services d'accès et d'identité. Avec la migration des ressources organisationnelles et d'infrastructure vers le cloud, la fonctionnalité proposée par la liaison à un contrôleur de domaine apparaît bien souvent superflue.

Jamf Connect permet de provisionner des comptes d'utilisateurs sur les ordinateurs Apple fonctionnant sous macOS à l'aide d'identifiants cloud. La solution sécurise l'accès aux comptes grâce à des droits d'administration centralisés et maintient la synchronisation des identifiants (sur site ou hors site) sans liaison avec AD.

Lorsqu'ils sont en télétravail, les utilisateurs peuvent se connecter à leur Mac avec leurs identifiants professionnels, c'est-à-dire les mêmes nom d'utilisateur et mot de passe qu'ils utiliseraient au bureau. Les administrateurs informatiques attribuent les droits d'administration sur les comptes locaux en s'appuyant sur le service d'annuaire cloud du fournisseur d'identité (IdP). Et avec l'authentification unique (SSO), les services d'assistance ne sont plus submergés par les demandes de réinitialisation de mot de passe : un seul mot de passe suffit en effet à accéder à l'ensemble des appareils et services gérés.

S'il est utilisé au bureau, Jamf Connect utilise les mêmes identifiants pour obtenir des certificats Kerberos sans liaison avec Active Directory. Les tickets Kerberos assurent ensuite un accès homogène et sécurisé aux ressources partagées sur site.

Limites :

Utilisateurs gérés ou utilisant le MDM

La suppression totale de la liaison nécessite une planification. Les administrateurs doivent tenir compte du fait que tous les utilisateurs qui s'authentifient sur un Mac avec un compte AD ont accès aux profils de configuration du canal utilisateur. En l'absence de liaison, seul le premier compte local créé lors d'un processus d'enrôlement automatisé, ou bien l'utilisateur qui aura inscrit l'appareil dans le MDM, pourra utiliser les profils de configuration de niveau utilisateur.

Pour savoir quels profils relèvent du niveau utilisateur, vous trouverez sur votre serveur MDM une liste complète des profils de configuration appliqués aux appareils de votre organisation.

Déterminez ensuite comment ces profils de configuration sont utilisés au sein de votre parc. Dans le cas d'un appareil individuel, l'application d'un profil au niveau de l'ordinateur ne devrait pas poser de problème. Pour remettre les choses en perspective, si vous êtes la seule personne à avoir les clés de votre voiture, y a-t-il vraiment une différence si votre permis de conduire est dans votre voiture ou dans votre portefeuille ? Pas vraiment, tant que vous l'avez.

Certains produits de sécurité réseau Cisco permettent de suivre les utilisateurs individuels sur le réseau grâce à un accès basé sur un certificat de niveau utilisateur. Les administrateurs doivent évaluer la nécessité de disposer de ce degré de suivi ou envisager de passer à des produits modernes de sécurité réseau basés sur le cloud, comme Jamf Private Access par exemple.

Réseaux RADIUS 802.1x

Avec Jamf Connect, l'écran de connexion nécessite une connectivité réseau pour s'authentifier auprès de l'IdP basé sur le cloud. L'accès à un réseau RADIUS 802.1x (via la saisie d'un nom d'utilisateur et d'un mot de passe, ou avec un certificat) n'est pas possible dans ce cas de figure.

L'écran de connexion appartient à l'utilisateur root. Par souci de sécurité, l'utilisateur root ne dispose d'aucun stockage ni trousseau d'accès macOS pour conserver des identifiants ou des certificats de manière sécurisée. Il ne peut donc pas utiliser des identifiants de niveau utilisateur.

Un appareil géré doit utiliser un certificat géré pour accéder à des réseaux gérés. Les administrateurs doivent donc appliquer, au niveau de la machine, des profils de configuration incluant un accès aux réseaux RADIUS via certificat SCEP. De cette manière, un appareil reste toujours accessible aux administrateurs et aux commandes MDM, même si aucun utilisateur n'est connecté : c'est une couche supplémentaire de sécurité.