IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une campagne permanente compromet les comptes Azure des cadres supérieurs et les verrouille,
à l'aide de l'authentification multifacteur

Le , par Bruno
26 commentaires

7PARTAGES

7  0 
Selon une étude menée par une grande société de sécurité informatique, 80 % des entreprises stockent des données sensibles dans le cloud, tandis que 53 % d'entre elles ont subi une cyberattaque sur leur infrastructure cloud au cours des 12 derniers mois. Une campagne en cours cible les comptes Microsoft Azure de cadres supérieurs, visant à compromettre des centaines de comptes et voler des données sensibles et des actifs financiers dans diverses organisations. Les cybercriminels utilisent des techniques sophistiquées d'hameçonnage, combinant des appâts personnalisés avec des documents partagés pour compromettre les environnements Azure. Une fois les comptes compromis, les auteurs de la menace mettent en place une authentification multifactorielle pour sécuriser l'accès.

Les actions post-compromission comprennent l'exfiltration de données, l'hameçonnage interne et externe, la fraude financière et la création de règles de boîte aux lettres pour masquer leurs traces. Les cybercriminels utilisent des proxys, des services d'hébergement de données et des domaines compromis pour obscurcir leur infrastructure opérationnelle. Bien que les acteurs ne soient pas identifiés, certains indices pointent vers une possible implication russe et nigériane.


« Les acteurs de la menace semblent se concentrer sur un large éventail de personnes occupant divers postes dans différentes organisations, ce qui a un impact sur des centaines d'utilisateurs dans le monde entier », indique un avis de Proofpoint. La base d'utilisateurs affectée englobe un large éventail de postes, les cibles fréquentes étant les directeurs des ventes, les responsables de comptes et les directeurs financiers. Les personnes occupant des postes de direction tels que "vice-président des opérations", "directeur financier et trésorier" et "président-directeur général" figuraient également parmi les cibles.

Fin novembre 2023, les chercheurs de Proofpoint ont détecté une nouvelle campagne malveillante, intégrant des techniques d'hameçonnage d'informations d'identification et de prise de contrôle de comptes dans le cloud (ATO). Dans le cadre de cette campagne, qui est toujours active, les acteurs de la menace ciblent les utilisateurs à l'aide de leurres d'hameçonnage individualisés dans des documents partagés. Par exemple, certains des documents utilisés comprennent des liens intégrés permettant de "voir le document" qui, à leur tour, redirigent les utilisateurs vers une page web d'hameçonnage malveillante lorsqu'ils cliquent sur l'URL.

En suivant les modèles de comportement et les techniques de l'attaque, nos analystes des menaces ont identifié des indicateurs de compromission spécifiques (IOC) associés à cette campagne. Il s'agit notamment de l'utilisation d'un agent utilisateur Linux spécifique utilisé par les cybercriminels au cours de la phase d'accès de la chaîne d'attaque.

Exemples d'événements de manipulation de l’authentification multifacteur, exécutés par des cybercriminels chez un utilisateur de cloud compromis.

Conséquences suite à une violation de sécurité

Un accès initial réussi conduit souvent à une séquence d'activités non autorisées après la compromission, y compris :

  • Manipulation de l' l’authentification multifacteur. Les cybercriminels enregistrent leurs propres méthodes d'AMF pour conserver un accès permanent. Nous avons observé des cybercriminels qui choisissaient différentes méthodes d'authentification, y compris l'enregistrement de numéros de téléphone alternatifs pour l'authentification par SMS ou par appel téléphonique. Cependant, dans la plupart des cas de manipulation del’ l’authentification multifacteur, les cybercriminels ont préféré ajouter une application d'authentification avec notification et code ;
  • Exfiltration de données. Les cybercriminels accèdent à des fichiers sensibles et les téléchargent, y compris des actifs financiers, des protocoles de sécurité internes et des informations d'identification des utilisateurs ;
  • Hameçonnage interne et externe. L'accès à la boîte aux lettres est utilisé pour effectuer des mouvements latéraux au sein des organisations concernées et pour cibler des comptes d'utilisateurs spécifiques avec des menaces d'hameçonnage personnalisées ;
  • Fraude financière. Dans le but de perpétrer des fraudes financières, des messages électroniques internes sont envoyés pour cibler les départements des ressources humaines et des finances au sein des organisations concernées ;
  • Règles de boîte aux lettres. Les attaquants créent des règles d'obscurcissement spécifiques, destinées à masquer leurs traces et à effacer toute trace d'activité malveillante dans les boîtes aux lettres des victimes.

Exemples de règles d'obscurcissement de boîtes aux lettres créées par des cybercriminels à la suite d'une prise de contrôle réussie d'un compte.

Infrastructure opérationnelle

L’étude criminalistique de l'attaque a mis en évidence plusieurs proxys, services d'hébergement de données et domaines détournés, qui constituent l'infrastructure opérationnelle des attaquants. Les cybercriminels ont été observés en train d'utiliser des services proxy pour aligner l'origine géographique apparente des activités non autorisées sur celle des victimes ciblées, évitant ainsi les politiques de géo-fencing. En outre, l'utilisation de services proxy fréquemment alternés permet aux acteurs de la menace de masquer leur véritable emplacement et crée un défi supplémentaire pour les défenseurs qui cherchent à bloquer les activités malveillantes.

Au-delà de l'utilisation de services proxy, les cybercriminels ont utilisé certains fournisseurs d'accès à Internet fixes locaux, ce qui pourrait révéler leur emplacement géographique. Parmi ces sources non proxy, on peut citer « Selena Telecom LLC », basé en Russie, et les fournisseurs nigérians « Airtel Networks Limited » et « MTN Nigeria ».

Bien que Proofpoint n'ait pas attribué cette campagne à un acteur connu, il est possible que des cybercriminels russes et nigérians soient impliqués, établissant ainsi un parallèle avec des attaques précédentes.

À la fin du mois de janvier, des pirates informatiques appartenant au groupe Midnight Blizzard, lié au renseignement russe, ont compromis le réseau de Microsoft en exploitant un ancien compte de test doté de privilèges administratifs. Leur méthode a impliqué l'utilisation de la technique de « password spraying » pour accéder à ce compte qui ne bénéficiait pas de l'authentification multifactorielle. Une fois infiltrés dans le système, ils ont abusé du protocole OAuth pour attribuer des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.

L'escalade d'accès a été facilitée par une « grosse erreur de configuration » de Microsoft, permettant à un compte de test hérité d'obtenir des privilèges d'administrateur, bien que la raison de cette configuration et sa persistance n'aient pas été expliquées par les responsables de Microsoft. L'attaque s'est étendue sur deux mois, pendant lesquels les pirates ont surveillé les courriels de cadres supérieurs. D'autres organisations, dont Hewlett Packard Enterprises, ont également été affectées par les activités de Midnight Blizzard, qui ont utilisé des proxies résidentiels pour masquer leurs connexions, compliquant ainsi la détection basée sur les indicateurs de compromission.

Dans une communication ultérieure aux clients, Microsoft a fourni plus de détails sur la manière dont les pirates ont réalisé cette escalade d'accès. Identifiés comme appartenant au groupe Midnight Blizzard, les pirates ont obtenu un accès permanent aux comptes de messagerie privilégiés en exploitant le protocole d'autorisation OAuth, largement utilisé dans l'industrie pour permettre à diverses applications d'accéder aux ressources d'un réseau. Après la compromission, Midnight Blizzard a créé une application malveillante et lui a attribué des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.

Les responsables de Microsoft ont présenté ces événements de manière obscure, minimisant l'ampleur de l'erreur. Ils ont expliqué que des acteurs de la menace, tels que Midnight Blizzard, compromettent des comptes d'utilisateurs pour altérer les autorisations d'applications OAuth, qu'ils peuvent ensuite utiliser à des fins malveillantes pour dissimuler leurs activités. L'abus d'OAuth permet également à ces acteurs de maintenir l'accès aux applications même après avoir perdu l'accès au compte initial compromis.

Midnight Blizzard a exploité son accès initial pour identifier et compromettre une ancienne application OAuth de test, lui conférant un accès élevé à l'environnement de l'entreprise Microsoft. Ils ont ensuite créé d'autres applications OAuth malveillantes, un nouveau compte utilisateur autorisant ces applications à accéder à l'environnement de l'entreprise. Enfin, les cybercriminels ont utilisé l'ancienne application OAuth de test pour lui attribuer le rôle Office 365 Exchange Online full_access_as_app, offrant ainsi un accès aux boîtes aux lettres.

Comment vérifier si vous êtes une cible

Il existe plusieurs signes révélateurs d'un ciblage. Le plus utile est un agent-utilisateur spécifique utilisé pendant la phase d'accès de l'attaque : Mozilla/5.0 (X11 ; Linux x86_64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/120.0.0.0 Safari/537.36. Les cybercriminels utilisent principalement cet agent-utilisateur pour accéder à l'application de connexion "OfficeHome" ainsi qu'à d'autres applications natives de Microsoft365, telles que :

  • Office365 Shell WCSS-Client (indicateur d'un accès par navigateur aux applications Office365) ;
  • Office 365 Exchange Online (révélateur d'un abus de boîtes aux lettres, d'une exfiltration de données et d'une prolifération de menaces par courrier électronique après la compromission) ;
  • My Signins (utilisé par les attaquants pour manipuler l’authentification multifacteur) ;
  • Mes applications ;
  • Mon profil.

L'incident décrit par Proofpoint met en lumière une sérieuse préoccupation en matière de sécurité pour les utilisateurs de Microsoft Azure, en particulier pour les cadres supérieurs et les organisations ciblées. La campagne sophistiquée d'hameçonnage démontre la nécessité de renforcer les protocoles de sécurité et la sensibilisation des utilisateurs au sein de l'écosystème Azure.

Toutefois, plusieurs aspects méritent d'être examinés. Tout d'abord, la diversité des rôles ciblés suggère une approche multifacette de la part des cybercriminels, soulignant la complexité des défis auxquels les services cloud comme Azure sont confrontés en termes de sécurité. La capacité des cybercriminels à contourner les mesures de géofencing en utilisant des proxys souligne également les failles potentielles dans les défenses de Microsoft Azure.

Il est important de noter que la sécurité informatique est un défi constant pour toutes les grandes plateformes cloud. Cependant, la réaction et la résilience d'une plateforme face à de telles attaques sont cruciales. Il serait intéressant de comparer les pratiques de sécurité de Microsoft Azure avec celles de ses principaux concurrents, tels qu'Amazon Web Services (AWS) et Google Cloud Platform (GCP), pour évaluer la robustesse de leurs approches respectives.

Les trois principaux fournisseurs de services cloud, à savoir Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) détiennent ensemble 62 % du marché de cloud computing, avec une croissance combinée de 42 % au premier trimestre 2022. Chacun offre des fonctionnalités de sécurité solides, telles que pare-feu, chiffrement en transit, gestion de la conformité, protection DDoS, et sécurité physique.

AWS, le plus ancien et le plus établi, se distingue par sa documentation claire, une place de marché étendue pour les modules tiers, un large réseau de partenaires, et une approche de responsabilité partagée claire. Microsoft Azure, le deuxième en termes de popularité, présente une approche centralisée de la gestion des identités et des accès (IAM) avec son Active Directory. Cependant, des problèmes de cohérence et de documentation moins claire sont mentionnés, ainsi qu'une gestion de l'accès des utilisateurs nécessitant un plus grand engagement de ressources.

Google Cloud Platform, le plus récent, offre des fonctionnalités prometteuses axées sur l'ingénierie et l'expertise mondiale. Il adopte également des configurations sécurisées par défaut et propose une approche centralisée de la gestion de la sécurité. Cependant, sa documentation est moins complète, et le marché des modules tiers est moins développé.

Chaque fournisseur a ses forces et faiblesses, ce qui souligne l'importance pour les entreprises de choisir en fonction de leurs besoins spécifiques en matière de sécurité, de gestion et de performance. L’incident présenté par Proofpoint souligne la nécessité d'une surveillance continue et de la mise en place de mécanismes plus robustes pour détecter et prévenir de telles attaques. Il est également crucial que les utilisateurs soient pleinement informés des meilleures pratiques de sécurité et des signes de compromission.

Source : Proofpoint

Et vous ?

Quel est votre avis sur le sujet ?

En quoi la capacité des cybercriminels à contourner les mesures de géofencing en utilisant des proxys souligne-t-elle les failles potentielles dans les défenses de Microsoft Azure ?

Comment la réaction et la résilience de Microsoft Azure face à cet incident se comparent-elles à celles de ses concurrents ?

Voir aussi :

Un compte de test Microsoft piraté s'est vu attribuer des privilèges d'administrateur, comment un compte de test hérité peut-il donner accès à la lecture de tous les comptes Office 365

Microsoft introduit une nouvelle fonctionnalité de sécurité pour la vérification des entreprises en ligne : Microsoft Entra Verified ID introduit la vérification faciale en avant-première

Microsoft monte une nouvelle équipe pour la modernisation de l'infrastructure cloud de M365 via Rust et ravive le débat sur la désignation de Rust comme meilleur gage de sécurisation des logiciels

Une erreur dans cette actualité ? Signalez-nous-la !

26 commentaires
Commenter Signaler un problème
sami_c
Avatar de sami_c
Membre averti https://www.developpez.com
Le 24/04/2024 à 19:04
Citation Envoyé par Mathis Lucas  Voir le message
[B][SIZE=4]
Pourquoi n'a pas informé les utilisateurs que la vulnérabilité CVE-2022-38028 faisait l'objet d'une exploitation active ?

Peut être parce qu’il s'agit d'une porte dérobée en cours d'exploitation par la NSA et le FBI ? ...
7  0 
Le Graouli
Avatar de Le Graouli
Membre à l'essai https://www.developpez.com
Le 19/02/2024 à 11:35
Moi ce qui me plaît le plus, c’est ce message rassurant qui s'affiche, parfois avec insistance, sur l’écran de mon PC lorsque je connecte sur un site «*Le respect de votre vie privée est notre priorité, nous en prenons soin*» pour m’insérer à tout prix des Cookies totalement inutiles. Certains sites respectent votre choix mais beaucoup trop vous imposent le leur.
4  0 
Jules34
Avatar de Jules34
Membre émérite https://www.developpez.com
Le 25/04/2024 à 11:32
Deux ans plus tard, les États-Unis ont inculpé les membres de Forest Blizzard pour leur implication dans les attaques du DNC et du DCCC, tandis que le Conseil de l'Union européenne a également sanctionné les membres de Forest Blizzard en octobre 2020 pour le piratage du Parlement fédéral allemand.
C'est sur que les Américains ça les saoules, ils déploient le virus Microsoft Office avec le ver "cloud" dans le calme le plus total dans leur colonie logicielle européenne... alors que les Russes jouent au plus malin ça les dépasses !
4  0 
chrtophe
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 06/05/2024 à 12:59
Il y a des métiers payés au moins en partie au résultat. En dehors d'un éventuel aspect moralité ça peut faire sens. D'un autre coté, le salarié n'est pas obligé d'accepter cette modification de son contrat de travail, du moins chez nous.
Comme le dit Jules, cela peut impacter le climat social.

Microsoft reste responsable comme toute entreprise est responsable de ce que fait ses employés.

Soit il manquent d'experts en sécurité pour valider avant publication, soit le marketing fait pression pour qu'un produit sorte même si il n'a pas été validé.

L'aspect sécurité représente un cout, et les couts les actionnaires n'aiment pas.
3  0 
e-ric
Avatar de e-ric
Membre expert https://www.developpez.com
Le 25/04/2024 à 14:27
Sacrés Russes, ils doivent adorer les Américains en leur jouant l'arroseur arrosé.
2  0 
rached2005
Avatar de rached2005
Membre à l'essai https://www.developpez.com
Le 06/05/2024 à 12:30
C'est un rappel crucial de renforcer nos mesures de sécurité, surtout en utilisant des mots de passe forts et en évitant les pièges du phishing. Il est également important de suivre de près les mises à jour de sécurité et d'avoir une stratégie de réponse aux incidents bien définie en cas de compromission.
2  0 
Ti-Slackeux
Avatar de Ti-Slackeux
Membre expérimenté https://www.developpez.com
Le 14/05/2024 à 12:17
Et après çà microsoft viens nous dire qu'on a besoin de UEFI, TPM et consort pour notre sécurité ...
A croire que chez eux c'est pas comme çà que ça fonctionne >.<
2  0 
Trehinos
Avatar de Trehinos
Membre actif https://www.developpez.com
Le 06/05/2024 à 10:46
> C'est un peu une inversion de la charge de la responsabilité...

Je ne vois pas en quoi. Du point de vue client, c'est toujours Microsoft le seul responsable.
Mais "Microsoft", sans employé, ça ne produit rien... "Microsoft" sans employé, ne développe pas.

> Se cacher derrière ses employés c'est vraiment le degré 0 de la responsabilité.
Il ne se cachent pas... comme déjà répondu, c'est toujours eux la façade.

Par contre responsabiliser les développeurs, il serait temps !
(je suis développeur)
1  0 
Chou-ette
Avatar de Chou-ette
Membre habitué https://www.developpez.com
Le 13/05/2024 à 18:07
Citation Envoyé par Jules34 Voir le message
C'est un peu une inversion de la charge de la responsabilité...

Les clients vont pas en avoir grand chose à F qu'on leur dise que c'est José qui a programmé la fonction pourrie de leur programme avec son équipe et qu'il n'aura pas son bonus annuel. Tout le monde s'en fout sauf José justement, qui risque pas d'être super motivé à l'idée de fournir de l'innovation. Il va plutôt passer du temps à stresser et foutre la pression aux équipes de dev, qui sont surement les prochains sur la liste à voir leur rémunération baisser en cas de problème.

Un client achète un produit à Microsoft. Se cacher derrière ses employés c'est vraiment le degré 0 de la responsabilité.

Bref on dirait l'époque des ouvrier engagés sous contrat de louage qui ne pouvait pas prétendre à des indemnisations en cas d'accident du travail.

Face je gagne, pile tu perds, so 2024 !
Justement on ne parle pas de dire que c'est José et de le lapider en place publique, mais de responsabiliser José dans la mise en application d'une politique globale de sécurité et de ses bonnes pratiques.

Je trouve l'initiative plutôt bonne bien qu'elle intègre le risque de surpression sur les équipes effectivement (bien que ce risque puisse surement être limité avec des structures de contrôle adaptées), c'est malheureusement souvent en tapant au portefeuille qu'on fait avancer les choses.
1  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 06/08/2024 à 21:18
Citation Envoyé par Stéphane le calme Voir le message

Quelle est la responsabilité des employés en matière de sécurité ? Pensez-vous que les employés devraient être évalués sur leur engagement envers la sécurité ? Comment cela pourrait-il affecter leur travail au quotidien ?
Comment équilibrer sécurité et innovation ? De quelle façon Microsoft pourrait maintenir un haut niveau de sécurité tout en encourageant l’innovation et la créativité parmi ses employés ?
Quelles mesures concrètes peuvent être prises pour améliorer la sécurité ? Partagez vos idées sur les actions spécifiques que Microsoft et d’autres entreprises peuvent entreprendre pour renforcer la sécurité.
La sécurité doit-elle être prioritaire sur d’autres aspects du travail ? Êtes-vous d’accord avec la nouvelle politique de Microsoft ? Pensez-vous que la sécurité devrait toujours être la priorité absolue ?
Quel rôle joue la sensibilisation à la sécurité ? Explorez l’importance de la formation et de la sensibilisation à la sécurité pour tous les employés, quel que soit leur poste.
Microsoft, en bonne GAFAM, nous fait une Boeing: "ce n'est pas la direction qui est en faute si nos avions s'écrasent, messieurs les sénateurs: c'est de la faute de nos ingénieurs, qui ont agit de leur propre initiative!".

Plus sérieusement, face à l'actionnariat, je suppose que ça aura autant de poids que les engagements sur la réduction des émissions de carbone.

EDIT:

Et sinon, les bugs qui effacent les comptes dans leur application MFA, ça compte dans les évaluations de fin d'année, aussi?
1  0 
Commenter Signaler un problème