Eviter le vol de secrets d’AD FS

FireEye vient de publier un article nommé Abusing Replication: Stealing AD FS Secrets Over the Network dans lequel est décrite une méthode permettant d’exporter des informations sensibles d’AD FS, notamment la clé privée du Token Signing Certificate qui permettrait à un acteur malveillant de créer des tokens valides de la même manière que si un utilisateur s’authentifiait sur AD FS. Sans entre dans les détails (je vous laisse lire l’article de FireEye et les liens auxquels il fait référence), cette technique nécessite aussi d’avoir accès à un compte Active Directory qui est administrateur des serveurs AD FS mais il vaut mieux prévenir que guérir.

La bonne nouvelle est que la solution proposée est très simple : il suffit de restreindre l’accès à port 80 des serveurs AD FS aux serveurs AD FS eux-mêmes, car par défaut n’importe quelle machine sur le réseau interne peut accéder au port 80 alors qu’il n’est utilisé que pour la réplication de configuration de la configuration d’AD FS entre serveurs.

— Stefan