Retour à l'accueil

Shadow RDP contourne MFA dans Azure

L'attaque Shadow RDP permet aux attaquants de rejoindre la session administrateur Azure sans MFA. Analyse du registre, journaux Event ID et mesures de protection : GPO, Conditional Access, PAW. Matériel pour spécialistes seniors en infrastructure.

Détournement de session Shadow RDP : contournement MFA dans le cloud
Advertisement 728x90

# Shadow RDP : Comment les attaquants détournent les sessions d’administration cloud

Les attaquants ont contourné l’authentification multifacteur (MFA) dans un environnement hybride Active Directory local + Azure en exploitant la fonctionnalité native Shadow RDP de Windows. Ils se sont glissés dans une session admin active sans réauthentification, prenant le contrôle total des ressources Azure. L’intrusion est passée inaperçue dans les journaux Azure AD jusqu’à ce qu’on remarque une session active pendant plus de 12 heures.

Conditions de l’attaque et premiers signaux d’alerte

L’environnement hybride reposait sur un Active Directory local synchronisé via Azure AD Connect. Les actifs critiques comme les machines virtuelles et le stockage étaient hébergés dans Azure, avec MFA imposé sur tous les comptes privilégiés.

Azure AD n’a enregistré qu’une seule connexion MFA réussie ce matin-là. Toutes les actions suivantes semblaient une extension fluide de cette session. Le signal d’alerte ? Une session inhabituellement longue — plus de 12 heures — sans activité administrative nocturne.

Google AdInline article slot

| Indicateur | Comportement normal | Pendant l’attaque |

|----------|---------------------|-------------------|

| Durée de session Azure AD | 8–9 heures | 24+ heures |

Google AdInline article slot

| Demandes MFA | Tous les matins ou changement d’IP | Aucune après détournement |

| Adresse IP | Bureau/VPN | Identique à celle de l’admin |

| Processus | Navigateur, PowerShell, RDP | + mstsc /shadow |

Google AdInline article slot

| Heures d’activité | 9h–18h | Heures nocturnes |

Analyse technique de Shadow RDP

Shadow RDP est une fonctionnalité native de Windows 10/11 et Server (avec rôle RDSH) qui permet de rejoindre la session active d’un autre utilisateur.

Les attaquants ont modifié le registre de la station de travail admin pour un accès furtif :

# Contrôle total sans demande de consentement (mode 2)
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v Shadow /t REG_DWORD /d 2 /f

# Désactiver la notification d’observation
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v ShadowNotification /t REG_DWORD /d 0 /f

Modes Shadow :

  • 0 — Désactivé
  • 1 — Contrôle total avec permission
  • 2 — Contrôle total sans permission
  • 3 — Lecture seule avec permission
  • 4 — Lecture seule sans permission (utilisé dans cette attaque)

Ils ont également ajusté les règles du pare-feu Windows Defender pour les ports RDP.

Commande de détournement de session : mstsc /shadow:ID_SESSION /control /noConsentPrompt.

Événements clés dans les journaux Windows

Surveillez ces ID d’événements pour détecter Shadow RDP :

  • Event ID 20508 — Permission d’observation Shadow accordée
  • Event ID 20503 — Session d’observation Shadow démarrée
  • Event ID 20504 — Session d’observation Shadow arrêtée

Autres journaux pour l’investigation :

| Source | ID d’événement | Capture |

|--------|----------------|---------|

| Sécurité (station admin) | 4657 | Modifications registre Shadow/ShadowNotification |

| PowerShell Operational | 4103 | Set-ItemProperty pour registre |

| TerminalServices-LocalSessionManager | 20503 | Début session Shadow |

| TerminalServices-LocalSessionManager | 20504 | Fin session Shadow |

| Connexions Azure AD | — | Durée de session |

| Connexions Azure AD | — | Pas de MFA sur changement d’IP |

Mesures de défense et contre-attaques

  • GPO pour désactiver Shadow RDP : Définir Shadow=0 sur les hôtes non essentiels.
  • Limiter les sessions RDP : GPO « Définir une limite de temps pour les sessions Terminal Services actives mais inactives » — 8 heures, avec déconnexion forcée.
  • Accès conditionnel Azure AD :

* Fréquence MFA : Toutes les 1–2 heures.

* Réauthentification sur changement d’IP.

* Bloquer « Me garder connecté » pour les rôles privilégiés.

  • Renforcer les hôtes RDP :

* Mode Admin restreint.

* Credential Guard.

* Remote Credential Guard.

  • Stations PAW/PAM : Machines admin isolées, redémarrage après usage, sans internet/courrier.
  • Surveillance SIEM/SOAR :

* Modifications de registre.

* ID d’événements 20503/20504.

* Corrélation journaux cloud et locaux.

Enseignements clés

  • Le MFA ne protège pas contre les détournements de session — concentrez-vous sur la durée des sessions et la surveillance des processus.
  • Shadow RDP est une fonctionnalité légitime ; détectez-la via les modifications de registre et les ID d’événements 20503+.
  • Les environnements hybrides exigent la corrélation des journaux Azure AD et Windows.
  • L’accès conditionnel avec MFA fréquent est la base contre le détournement de sessions.
  • Les PAW réduisent la surface d’attaque des points d’extrémité.

— Editorial Team

Advertisement 728x90

Lire ensuite