Discussion :

[Sandra Coret]

Le réseau de Microsoft a été violé par des pirates de l'État russe qui ont exploité un mot de passe faible pour compromettre le réseau de l'entreprise, l'intrusion a commencé fin novembre et a été découverte le 12 janvier

Des pirates informatiques russes soutenus par l'État ont accédé aux courriels de hauts responsables de Microsoft, selon l'entreprise.

Des pirates russes soutenus par des États se sont introduits dans le système de messagerie électronique de Microsoft et ont accédé aux comptes des membres de l'équipe dirigeante de l'entreprise, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques, a déclaré l'entreprise vendredi.

Dans un billet de blog, Microsoft indique que l'intrusion a commencé fin novembre et a été découverte le 12 janvier. L'équipe de pirates russes hautement qualifiés à l'origine de l'intrusion dans SolarWinds est responsable de cette intrusion.

Un "très faible pourcentage" des comptes d'entreprise de Microsoft ont été consultés, a déclaré la société, et certains courriels et documents joints ont été volés.

Un porte-parole de la société a déclaré que Microsoft n'avait pas de commentaire à faire dans l'immédiat sur le nombre de membres de sa haute direction dont les comptes de messagerie ont été violés. Dans un document réglementaire déposé vendredi, Microsoft a déclaré avoir pu supprimer l'accès des pirates aux comptes compromis le 13 janvier ou aux alentours de cette date.

"Nous sommes en train de notifier les employés dont les courriels ont été consultés", a déclaré Microsoft, ajoutant que son enquête indique que les pirates ciblaient initialement les comptes de courriel pour y trouver des informations liées à leurs activités.

La SEC (Securities and Exchange Commission) exige des entreprises qu'elles divulguent rapidement les failles de sécurité

La divulgation de Microsoft intervient un mois après l'entrée en vigueur d'une nouvelle règle de la Securities and Exchange Commission (SEC), qui oblige les entreprises cotées en bourse à divulguer les failles susceptibles d'avoir un impact négatif sur leurs activités. Cette règle leur donne quatre jours pour le faire, à moins qu'elles n'obtiennent une dérogation pour des raisons de sécurité nationale.

Dans le document déposé vendredi auprès de la SEC, Microsoft a déclaré qu'"à la date de ce document, l'incident n'a pas eu d'impact matériel" sur ses activités. Elle a ajouté qu'elle n'avait toutefois pas "déterminé si l'incident était raisonnablement susceptible d'avoir un impact matériel" sur ses finances.

Microsoft, dont le siège se trouve à Redmond, dans l'État de Washington, a déclaré que les pirates de l'agence russe de renseignement étranger SVR avaient réussi à accéder au système en compromettant les informations d'identification d'un compte de test "ancien", ce qui laissait supposer que le code était obsolète. Après avoir pris pied, ils ont utilisé les autorisations du compte pour accéder aux comptes de l'équipe dirigeante et d'autres personnes. La technique d'attaque par force brute utilisée par les pirates est appelée "password spraying".

L'acteur de la menace utilise un seul mot de passe commun pour tenter de se connecter à plusieurs comptes. Dans un billet de blog publié en août, Microsoft a décrit comment son équipe de renseignement sur les menaces a découvert que la même équipe de pirates russes avait utilisé cette technique pour tenter de voler les informations d'identification d'au moins 40 organisations mondiales différentes par l'intermédiaire des chats Microsoft Teams.

"L'attaque n'était pas le résultat d'une vulnérabilité dans les produits ou services Microsoft", a déclaré l'entreprise sur son blog. "À ce jour, rien ne prouve que l'auteur de la menace ait eu accès aux environnements des clients, aux systèmes de production, au code source ou aux systèmes d'intelligence artificielle. Nous informerons nos clients si une action est nécessaire."

Microsoft appelle l'unité de piratage Midnight Blizzard. Avant de revoir sa nomenclature des acteurs de la menace l'année dernière, elle appelait le groupe Nobelium. La société de cybersécurité Mandiant, qui appartient à Google, appelle le groupe Cozy Bear.

Dans un billet de blog datant de 2021, Microsoft a qualifié la campagne de piratage SolarWinds d'"attaque d'État-nation la plus sophistiquée de l'histoire". Outre les agences gouvernementales américaines, dont les départements de la justice et du trésor, plus d'une centaine d'entreprises privées et de groupes de réflexion ont été compromis, notamment des fournisseurs de logiciels et de télécommunications.

Le SVR se consacre principalement à la collecte de renseignements. Il cible principalement les gouvernements, les diplomates, les groupes de réflexion et les fournisseurs de services informatiques aux États-Unis et en Europe.

Mesures prises par Microsoft à la suite d'une attaque perpétrée par un agent de l'État Midnight Blizzard

L'équipe de sécurité de Microsoft a détecté une attaque d'un État-nation sur nos systèmes d'entreprise le 12 janvier 2024 et a immédiatement activé notre processus de réponse pour enquêter, interrompre l'activité malveillante, atténuer l'attaque et empêcher l'acteur de la menace d'accéder à d'autres systèmes. Microsoft a identifié l'acteur de la menace comme étant Midnight Blizzard, l'acteur parrainé par l'État russe également connu sous le nom de Nobelium. Dans le cadre de notre engagement permanent en faveur d'une transparence responsable, récemment affirmé dans notre Secure Future Initiative (SFI), nous partageons cette mise à jour.

À partir de la fin novembre 2023, l'auteur de la menace a utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de locataire de test hors production et prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d'entreprise Microsoft, y compris des membres de notre équipe de direction et des employés de nos fonctions de cybersécurité, juridiques et autres, et a exfiltré des courriels et des documents joints. L'enquête indique qu'ils ont d'abord ciblé des comptes de messagerie pour y trouver des informations relatives à Midnight Blizzard lui-même. Nous sommes en train de notifier les employés dont les courriels ont été consultés.

L'attaque ne résulte pas d'une vulnérabilité dans les produits ou services de Microsoft. À ce jour, rien ne prouve que l'auteur de la menace ait eu accès aux environnements des clients, aux systèmes de production, au code source ou aux systèmes d'intelligence artificielle. Nous informerons nos clients si des mesures doivent être prises.

Cette attaque met en évidence le risque permanent que représentent pour toutes les organisations des acteurs de la menace bien financés par des États-nations comme Midnight Blizzard.

Comme nous l'avons dit à la fin de l'année dernière lorsque nous avons annoncé l'initiative Secure Future (SFI), compte tenu de la réalité des acteurs de la menace qui disposent de ressources et sont financés par des États-nations, nous sommes en train de modifier l'équilibre que nous devons trouver entre la sécurité et le risque commercial - le type de calcul traditionnel n'est tout simplement plus suffisant. Pour Microsoft, cet incident a mis en évidence la nécessité urgente d'agir encore plus vite. Nous allons agir immédiatement pour appliquer nos normes de sécurité actuelles aux systèmes hérités et aux processus commerciaux internes appartenant à Microsoft, même si ces changements risquent de perturber les processus commerciaux existants.

Cela entraînera probablement un certain niveau de perturbation pendant que nous nous adaptons à cette nouvelle réalité, mais il s'agit d'une étape nécessaire, et seulement la première d'une série de mesures que nous prendrons pour adopter cette philosophie.

Nous poursuivons notre enquête et prendrons des mesures supplémentaires en fonction des résultats de cette enquête. Nous continuerons à travailler avec les forces de l'ordre et les autorités de régulation compétentes. Nous sommes fermement décidés à partager davantage d'informations et nos enseignements, afin que la communauté puisse bénéficier à la fois de notre expérience et de nos observations sur l'acteur de la menace. Nous fournirons des détails supplémentaires le cas échéant.

Source : Microsoft

Et vous ?

Quel est votre avis sur la situation ?

Voir aussi :

Azure AD: un ingénieur Microsoft s'est fait pirater son compte et a exposé des utilisateurs de haut niveau, des hackers ont volé une clé de signature dans un crash dump

Facebook et Microsoft sont les marques les plus usurpées par les cybercriminels pour leurs opérations de phishing, selon un rapport de Vade sur le premier semestre 2023

Microsoft affirme que des pirates informatiques liés à la Russie sont à l'origine de dizaines d'attaques, de phishing par Teams

[unanonyme]

Bonjour,

sur quelle base l'attribution des attaquants est réalisée ?
sur quelle base est déterminée le niveau de technicité des attaquants ?

...compromettant les informations d'identification d'un compte de test "ancien", ce qui laissait supposer que le code était obsolète. Après avoir pris pied, ils ont utilisé les autorisations du compte pour accéder aux comptes de l'équipe dirigeante et d'autres personnes...

Donc en réussissant à déterminer le mot de passe d'un compte test,
ils ont réussit à déterminer les mots de passe des dirigeants
avec une technique de force brute

Il n'existait donc aucune politique de sécurité par gestion de domaine,
de pare feu etc

Et cette société est dans le top 5 des capitalisations mondiale ?



Bonne journée.

[AoCannaille]

Il n'existait donc aucune politique de sécurité par gestion de domaine,
de pare feu etc

Et cette société est dans le top 5 des capitalisations mondiale ?



Bonne journée.

Et cette société est à l'origine de solutions avec des configurations par défaut et des recommandations pour toutes les autres sociétés du monde, ou presque.

[Bruno]

Un compte de test Microsoft piraté s'est vu attribuer des privilèges d'administrateur,
comment un compte de test hérité peut-il donner accès à la lecture de tous les comptes Office 365

Des pirates informatiques, appartenant au groupe Midnight Blizzard lié au renseignement russe, ont compromis le réseau de Microsoft en exploitant un ancien compte de test doté de privilèges administratifs. Les pirates ont utilisé la technique de « password spraying » pour accéder à ce compte non protégé par l'authentification multifactorielle. Une fois dans le système, ils ont abusé du protocole OAuth pour attribuer des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.

Cette escalade d'accès a été rendue possible par une « grosse erreur de configuration » de la part de Microsoft, qui a permis à un compte de test hérité d'obtenir des privilèges d'administrateur. Les responsables de Microsoft n'ont pas expliqué la raison de cette configuration et pourquoi elle a persisté. L'attaque a duré deux mois, pendant lesquels les pirates ont surveillé les courriels de cadres supérieurs. D'autres organisations, dont Hewlett Packard Enterprises, ont également été touchées par les activités de Midnight Blizzard. Les pirates ont utilisé des proxies résidentiels pour masquer leurs connexions, rendant la détection basée sur les indicateurs de compromission difficile.

Dans un message informant les clients des résultats de l'enquête en cours, Microsoft a fourni davantage de détails sur la façon dont les pirates ont réussi cette escalade importante. Appartenant au groupe Midnight Blizzard selon l'identification de Microsoft, les pirates ont obtenu un accès permanent aux comptes de messagerie privilégiés en exploitant le protocole d'autorisation OAuth, largement utilisé dans l'industrie pour permettre à diverses applications d'accéder aux ressources d'un réseau. Après la compromission, Midnight Blizzard a créé une application malveillante et lui a attribué des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.

Cependant, dans une mise à jour, les responsables de Microsoft ont décrit ces événements de manière plutôt obscure, minimisant ainsi l'ampleur de cette grave erreur. Ils ont expliqué que les acteurs de la menace, comme Midnight Blizzard, compromettent des comptes d'utilisateurs pour altérer les autorisations d'applications OAuth, qu'ils peuvent ensuite utiliser à des fins malveillantes pour dissimuler leurs activités. L'abus d'OAuth permet également à ces acteurs de maintenir l'accès aux applications même après avoir perdu l'accès au compte initial compromis.

Midnight Blizzard a exploité son accès initial pour identifier et compromettre une ancienne application OAuth de test, lui conférant un accès élevé à l'environnement de l'entreprise Microsoft. Ils ont ensuite créé d'autres applications OAuth malveillantes, un nouveau compte utilisateur autorisant ces applications à accéder à l'environnement de l'entreprise. Enfin, les cybercriminels ont utilisé l'ancienne application OAuth de test pour lui attribuer le rôle Office 365 Exchange Online full_access_as_app, offrant ainsi un accès aux boîtes aux lettres.

Autorisation OAuth 2.0 avec Microsoft Entra ID

Le protocole OAuth 2,0 est le protocole de l’industrie pour l’autorisation. Il permet à un utilisateur d’accorder un accès limité à ses ressources protégées. Conçu pour fonctionner spécifiquement avec le protocole HTTP (Hypertext Transfer Protocol), OAuth sépare le rôle du client du propriétaire de la ressource. Le client demande l’accès aux ressources contrôlées par le propriétaire de la ressource et hébergées par le serveur de ressources. Le serveur de ressources émet des jetons d’accès avec l’approbation du propriétaire de la ressource. Le client utilise les jetons d’accès pour accéder aux ressources protégées hébergées par le serveur de ressources.

OAuth 2,0 est directement lié à OpenID Connect (OIDC). Étant donné que OIDC est une couche d’authentification et d’autorisation reposant sur OAuth 2,0, il n’est pas compatible avec OAuth 1,0. Microsoft Entra ID prend en charge tous les flux OAuth 2.0.

Composants du système

• Utilisateur : Demande un service à partir de l’application Web (application). L’utilisateur est généralement le propriétaire de la ressource qui détient les données et qui a le pouvoir d’autoriser les clients à accéder aux données ou à la ressource ;
• Navigateur Web : Le navigateur Web avec lequel l’utilisateur interagit est le client OAuth ;
• Application web : L’application Web, ou serveur de ressources, est l’emplacement où réside(nt) la ressource ou les données. Il approuve le serveur d’autorisation pour authentifier et autoriser le client OAuth en toute sécurité ;
• Microsoft Entra ID : Microsoft Entra ID est le serveur d’authentification, également appelé fournisseur d’identité (IdP). Il gère en toute sécurité tout ce qu’il faut faire avec les informations de l’utilisateur, son accès et la relation d’approbation. Il est responsable de l’émission des jetons qui accordent et révoquent l’accès aux ressources.

Kevin Beaumont, chercheur et professionnel de la sécurité fort de plusieurs dizaines d'années d'expérience, dont un passage chez Microsoft, a souligné sur Mastodon que le seul moyen pour un compte d'attribuer le tout-puissant rôle full_access_as_app à une application OAuth est d'avoir des privilèges d'administrateur. Quelqu'un, a-t-il dit, a fait une grosse erreur de configuration dans la production. Il y a de bonnes raisons de limiter étroitement les comptes qui peuvent attribuer un accès aussi large à une application OAuth. Il est difficile d'imaginer une raison légitime d'attribuer et de maintenir de tels droits à un compte de test, en particulier un compte qui a atteint le statut d'héritage.

Ce qui fait de la configuration du compte de test un tel tabou de sécurité, c'est qu'elle a rompu le filet de sécurité que les restrictions sont censées fournir. L'une des pratiques de sécurité réseau les plus fondamentales est le principe du moindre privilège. Les comptes doivent toujours être configurés avec le minimum de privilèges requis pour effectuer les tâches qui leur sont assignées. Dans le cas présent, il est difficile de comprendre pourquoi le compte de test hérité a besoin de privilèges d'administrateur.

« C'est un peu comme avoir un utilisateur Admin de domaine pour le système de production... sauf qu'il s'agit d'un domaine de test, sans sécurité, sans MFA, sans pare-feu, sans surveillance, etc. Traduction : Un utilisateur administrateur de domaine dispose de tous les privilèges administratifs sur tous les appareils connectés à un réseau, y compris le contrôleur de domaine et l'annuaire actif qui stocke les informations d'identification et crée de nouveaux comptes. En tant qu'utilisateurs les plus puissants d'un réseau, ils devraient être isolés et rarement, voire jamais, intégrés à un système de production. Permettre à ces comptes de ne pas être protégés par des mots de passe forts et d'autres mesures de sécurité standard ne ferait qu'aggraver la situation. »

Les responsables de Microsoft ont refusé d'expliquer les raisons de la configuration du compte de test en premier lieu et pourquoi il a été autorisé à persister une fois qu'il a atteint le statut d'ancien compte.

Principe du moindre privilège

Le principe du moindre privilège est un concept de sécurité de l'information selon lequel un utilisateur se voit accorder les niveaux d'accès - ou autorisations - minimaux nécessaires à l'exercice de ses fonctions. Il est largement considéré comme une pratique exemplaire en matière de cybersécurité et constitue une étape fondamentale dans la protection de l'accès privilégié aux données et aux biens de grande valeur. Le principe du moindre privilège s'étend au-delà de l'accès humain. Le modèle peut être appliqué aux applications, aux systèmes ou aux dispositifs connectés qui nécessitent des privilèges ou des autorisations pour effectuer une tâche requise.

L'application du principe de moindre privilège garantit que l'outil non humain dispose de l'accès requis - et rien de plus. Pour que l'application de la règle du moindre privilège soit efficace, il faut un moyen de gérer et de sécuriser de manière centralisée les informations d'identification privilégiées, ainsi que des contrôles flexibles permettant de concilier les exigences de cybersécurité et de conformité avec les besoins opérationnels et les besoins des utilisateurs finaux.

Qu'est-ce que la dérive des privilèges ?

Lorsque les entreprises choisissent de retirer tous les droits administratifs aux utilisateurs professionnels, l'équipe informatique doit souvent réattribuer des privilèges pour que les utilisateurs puissent effectuer certaines tâches. À titre d'exemple, de nombreuses applications internes et personnalisées utilisées au sein des infrastructures informatiques des entreprises exigent des privilèges pour leur bon fonctionnement, tout comme de nombreuses applications commerciales disponibles dans le commerce.

Pour que les utilisateurs professionnels puissent exécuter ces applications autorisées et nécessaires, l'équipe informatique doit leur redonner les privilèges d'administrateur local. Une fois les privilèges réattribués, ils sont rarement révoqués et, au fil du temps, les entreprises peuvent se retrouver avec de nombreux utilisateurs détenant à nouveau des droits d'administrateur local.

Cette « dérive des privilèges » rouvre la faille de sécurité associée à des droits d'administration excessifs et rend les organisations - qui se croient probablement bien protégées - plus vulnérables aux menaces. En mettant en œuvre des contrôles d'accès selon le principe du moindre privilège, les organisations peuvent contribuer à freiner la « dérive des privilèges » et s'assurer que les utilisateurs humains et non humains ne disposent que des niveaux d'accès minimaux requis.

Pourquoi le principe de moindre privilège est-il important ?

Il réduit la surface d'attaque des cyberattaques. La plupart des attaques avancées reposent aujourd'hui sur l'exploitation d'informations d'identification privilégiées. En limitant les privilèges des super-utilisateurs et des administrateurs (qui permettent aux administrateurs informatiques d'accéder librement aux systèmes cibles), l'application du principe de moindre privilège contribue à réduire la surface globale des cyberattaques.

Elle stoppe la propagation des logiciels malveillants. En appliquant la règle du moindre privilège sur les terminaux, les attaques de logiciels malveillants (telles que les attaques par injection SQL) sont incapables d'utiliser des privilèges élevés pour accroître l'accès et se déplacer latéralement afin d'installer ou d'exécuter des logiciels malveillants ou d'endommager la machine.

Elle améliore la productivité de l'utilisateur final. La suppression des droits d'administrateur local des utilisateurs professionnels contribue à réduire les risques, mais l'élévation des privilèges juste à temps, sur la base d'une politique, permet de maintenir la productivité des utilisateurs et de réduire au minimum les appels au service d'assistance informatique.

Elle permet de rationaliser la conformité et les audits. De nombreuses politiques internes et exigences réglementaires imposent aux entreprises d'appliquer le principe du moindre privilège aux comptes privilégiés afin de prévenir les dommages malveillants ou involontaires aux systèmes critiques. L'application du principe de moindre privilège aide les entreprises à démontrer leur conformité grâce à une piste d'audit complète des activités privilégiées.

Midnight Blizzard

Midnight Blizzard (également connu sous le nom de NOBELIUM) est un acteur de la menace basé en Russie, attribué par les gouvernements américain et britannique au Service de renseignement extérieur de la Fédération de Russie, également connu sous le nom de SVR. Cet acteur de la menace est connu pour cibler principalement les gouvernements, les entités diplomatiques, les organisations non gouvernementales (ONG) et les fournisseurs de services informatiques, principalement aux États-Unis et en Europe. Son objectif est de collecter des renseignements par le biais d'un espionnage dévoué et de longue date d'intérêts étrangers, qui peut être retracé depuis le début de l'année 2018. Leurs opérations impliquent souvent la compromission de comptes valides et, dans certains cas très ciblés, des techniques avancées pour compromettre les mécanismes d'authentification au sein d'une organisation afin d'élargir l'accès et d'échapper à la détection.

Midnight Blizzard est cohérent et persistant dans son ciblage opérationnel, et ses objectifs changent rarement. Les activités d'espionnage et de collecte de renseignements de Midnight Blizzard s'appuient sur diverses techniques d'accès initial, de déplacement latéral et de persistance pour collecter des informations à l'appui des intérêts de la Russie en matière de politique étrangère. Ils utilisent diverses méthodes d'accès initial, allant du vol d'informations d'identification aux attaques de la chaîne d'approvisionnement, en passant par l'exploitation d'environnements sur site pour se déplacer latéralement vers le nuage et l'exploitation de la chaîne de confiance des fournisseurs de services pour accéder aux clients en aval.

Midnight Blizzard est également capable d'identifier et d'exploiter les applications OAuth pour se déplacer latéralement dans les environnements en nuage et pour des activités postérieures à la compromission, telles que la collecte de courriels. OAuth est une norme ouverte d'authentification et d'autorisation basée sur des jetons qui permet aux applications d'accéder aux données et aux ressources en fonction des autorisations définies par l'utilisateur.

La dernière mise à jour de Microsoft a apporté deux précisions supplémentaires. La première est que l’entreprise a détecté d'autres violations par Midnight Blizzard frappant d'autres organisations et qu'elle a notifié les personnes concernées. Hewlett Packard Enterprises a déclaré en début de semaine que son réseau avait également été piraté par Midnight Blizzard. Cette brèche s'est produite en mai et n'a été découverte ou contenue qu'en décembre.

Deuxième détail : la pulvérisation de mots de passe utilisée pour accéder au compte test était limitée à un nombre restreint de comptes avec un faible nombre de tentatives d'accès pour chacun d'entre eux. Midnight Blizzard a encore réduit son activité malveillante en menant ces attaques à partir d'une infrastructure de proxy résidentielle distribuée. Cette méthode est utilisée depuis plusieurs années, notamment lors de l'attaque de la chaîne d'approvisionnement de SolarWinds en 2020, qui a également été menée par Midnight Blizzard. En se connectant aux cibles à partir d'adresses IP jouissant d'une bonne réputation et géolocalisées dans des régions attendues, les pirates se sont fondus dans la masse des utilisateurs légitimes.

L'incident de sécurité impliquant le groupe de pirates Midnight Blizzard au sein du réseau de Microsoft soulève des préoccupations majeures quant à la robustesse des mesures de sécurité de l'entreprise. L'utilisation d'un ancien compte de test avec des privilèges administratifs comme point d'entrée pour les pirates est préoccupante et met en lumière une faille de sécurité significative.

La complexité inhérente à certains produits de Microsoft peut poser des défis significatifs pour les organisations, en particulier les petites entreprises, lors de la gestion des paramètres de sécurité et des privilèges. Cette complexité peut rendre la configuration et la maintenance des mesures de sécurité plus difficiles, nécessitant souvent des compétences techniques approfondies.

Erreurs de configuration chez Microsoft : Interrogations sur la sécurité et les privilèges

Malgré l'approche proactive adoptée par Microsoft pour remédier aux vulnérabilités, son écosystème logiciel a été historiquement pris pour cible par des attaques. La vaste gamme de produits Microsoft peut potentiellement créer des points d'accès favorables aux menaces de sécurité. Des inquiétudes ont également été exprimées au sujet de la confidentialité des données dans certains produits de l'entreprise. La collecte de données suscite des préoccupations quant à la protection de la vie privée des utilisateurs, soulignant la nécessité pour Microsoft d'établir des politiques et des pratiques transparentes en matière de gestion des données.

Bien que Microsoft propose des outils dédiés à la gestion des privilèges, leur implémentation peut se révéler complexe. La nécessité d'une expertise significative pour configurer correctement ces outils peut représenter un défi pour de nombreuses organisations. La technique de « password spraying » utilisée pour accéder à un compte non protégé par l'authentification multifactorielle souligne l'importance d'une vigilance accrue envers les pratiques de sécurité standard. L'exploitation du protocole OAuth pour attribuer des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 met en lumière l'étendue potentielle de l'impact de l'attaque, notamment la surveillance des courriels de cadres supérieurs pendant une période de deux mois.

L'allusion à une « erreur de configuration majeure » de la part de Microsoft soulève des interrogations cruciales sur les pratiques de sécurité et la gestion des privilèges au sein de l'entreprise. L'accord de privilèges administratifs à un compte de test hérité sans explication claire ni justification représente une lacune sérieuse. Le manque d'explication de la part des responsables de Microsoft concernant la raison de cette configuration et sa persistance souligne un défaut de transparence qui pourrait susciter des inquiétudes parmi les utilisateurs et les entreprises clientes. La période de deux mois pendant laquelle les pirates ont pu surveiller les courriels de cadres supérieurs met également en exergue des failles dans la détection des menaces et la réactivité de l'entreprise face à de telles situations.

La propagation de l'attaque à d'autres organisations, notamment Hewlett Packard Enterprises, met en évidence la nécessité d'une collaboration et d'une communication renforcées entre les entreprises afin de mieux se prémunir contre de telles menaces. L'utilisation de proxies résidentiels par les pirates pour dissimuler leurs connexions souligne la sophistication de leurs méthodes, mettant en lumière les défis croissants auxquels font face les entreprises en matière de détection des activités malveillantes.

L’incident met en évidence la nécessité pour les entreprises, y compris les géants de la technologie comme Microsoft, de revoir et de renforcer constamment leurs pratiques de sécurité, en mettant un accent particulier sur la gestion des privilèges, la détection proactive des menaces et la transparence vis-à-vis de leurs utilisateurs.

Sources : Microsoft, SEC

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

Quel est votre avis sur ce sujet ?

Comment se fait-il qu'un compte sensible ne soit pas protégé par l'authentification multifactorielle, surtout compte tenu des risques actuels associés aux attaques par « password spraying » ?

Comment les activités de Midnight Blizzard ont-elles également touché d'autres organisations, telles que Hewlett Packard Enterprises, et quelles leçons peuvent être tirées pour renforcer la cybersécurité dans l'ensemble de l'industrie ?

Voir aussi :

Microsoft affirme que des pirates informatiques liés à la Russie sont à l'origine de dizaines d'attaques, de phishing par Teams

LitterDrifter : le ver USB déclenché par des pirates informatiques russes se propage dans le monde entier, il est soupçonné d'être une évolution d'un ver USB basé sur PowerShell

Le réseau de Microsoft a été violé par des pirates de l'État russe qui ont exploité un mot de passe faible pour lancer l'attaque, l'intrusion a commencé fin novembre et a été découverte le 12 janvier

[Artemus24]

Salut à tous.

Bravo pour la sécurité chez Microsoft !

@+

[abgech]

Cela démontre la piètre qualité des pratiques et des développements chez Microsoft.

[gibus92]

Dans n'importe quelle organisation, il est nécessaire de réaliser une revue des comptes et des privilèges. Pour limiter les risques de sécurité, il est nécessaire de n'utiliser les comptes invités et les comptes de test à la durée strictement nécessaire à l'opération. Ils doivent être désactivés ensuite. Il s'agit de précautions de sécurité élémentaires. Croire que le modèle de sécurité d'un OS suffit à régler les problèmes de sécurité magiquement est soit d'une naiveté épouvantable, soit d'une incompétence incroyable, soit d'un manque de ressources et/ou d'automatisation des tâches fondamentales de sécurité : le même genre de problèmes peut arriver à des comptes laissés en déshérence sur des OS Linux. Trop de clients réduisent les coûts au delà du raisonnable et limitent leurs personnels (nombre/compétences/attributions) au point de ne plus administrer correctement leur sécurité et de tolérer de réaliser des tests sur une plateforme de production.

[Bruno]

Une campagne permanente compromet les comptes Azure des cadres supérieurs et les verrouille,
à l'aide de l’authentification multifacteur

Selon une étude menée par une grande société de sécurité informatique, 80 % des entreprises stockent des données sensibles dans le cloud, tandis que 53 % d'entre elles ont subi une cyberattaque sur leur infrastructure cloud au cours des 12 derniers mois. Une campagne en cours cible les comptes Microsoft Azure de cadres supérieurs, visant à compromettre des centaines de comptes et voler des données sensibles et des actifs financiers dans diverses organisations. Les cybercriminels utilisent des techniques sophistiquées d'hameçonnage, combinant des appâts personnalisés avec des documents partagés pour compromettre les environnements Azure. Une fois les comptes compromis, les auteurs de la menace mettent en place une authentification multifactorielle pour sécuriser l'accès.

Les actions post-compromission comprennent l'exfiltration de données, l'hameçonnage interne et externe, la fraude financière et la création de règles de boîte aux lettres pour masquer leurs traces. Les cybercriminels utilisent des proxys, des services d'hébergement de données et des domaines compromis pour obscurcir leur infrastructure opérationnelle. Bien que les acteurs ne soient pas identifiés, certains indices pointent vers une possible implication russe et nigériane.

« Les acteurs de la menace semblent se concentrer sur un large éventail de personnes occupant divers postes dans différentes organisations, ce qui a un impact sur des centaines d'utilisateurs dans le monde entier », indique un avis de Proofpoint. La base d'utilisateurs affectée englobe un large éventail de postes, les cibles fréquentes étant les directeurs des ventes, les responsables de comptes et les directeurs financiers. Les personnes occupant des postes de direction tels que "vice-président des opérations", "directeur financier et trésorier" et "président-directeur général" figuraient également parmi les cibles.

Fin novembre 2023, les chercheurs de Proofpoint ont détecté une nouvelle campagne malveillante, intégrant des techniques d'hameçonnage d'informations d'identification et de prise de contrôle de comptes dans le cloud (ATO). Dans le cadre de cette campagne, qui est toujours active, les acteurs de la menace ciblent les utilisateurs à l'aide de leurres d'hameçonnage individualisés dans des documents partagés. Par exemple, certains des documents utilisés comprennent des liens intégrés permettant de "voir le document" qui, à leur tour, redirigent les utilisateurs vers une page web d'hameçonnage malveillante lorsqu'ils cliquent sur l'URL.

En suivant les modèles de comportement et les techniques de l'attaque, nos analystes des menaces ont identifié des indicateurs de compromission spécifiques (IOC) associés à cette campagne. Il s'agit notamment de l'utilisation d'un agent utilisateur Linux spécifique utilisé par les cybercriminels au cours de la phase d'accès de la chaîne d'attaque.

Exemples d'événements de manipulation de l’authentification multifacteur, exécutés par des cybercriminels chez un utilisateur de cloud compromis.

Conséquences suite à une violation de sécurité

Un accès initial réussi conduit souvent à une séquence d'activités non autorisées après la compromission, y compris :

• Manipulation de l' l’authentification multifacteur. Les cybercriminels enregistrent leurs propres méthodes d'AMF pour conserver un accès permanent. Nous avons observé des cybercriminels qui choisissaient différentes méthodes d'authentification, y compris l'enregistrement de numéros de téléphone alternatifs pour l'authentification par SMS ou par appel téléphonique. Cependant, dans la plupart des cas de manipulation del’ l’authentification multifacteur, les cybercriminels ont préféré ajouter une application d'authentification avec notification et code ;
• Exfiltration de données. Les cybercriminels accèdent à des fichiers sensibles et les téléchargent, y compris des actifs financiers, des protocoles de sécurité internes et des informations d'identification des utilisateurs ;
• Hameçonnage interne et externe. L'accès à la boîte aux lettres est utilisé pour effectuer des mouvements latéraux au sein des organisations concernées et pour cibler des comptes d'utilisateurs spécifiques avec des menaces d'hameçonnage personnalisées ;
• Fraude financière. Dans le but de perpétrer des fraudes financières, des messages électroniques internes sont envoyés pour cibler les départements des ressources humaines et des finances au sein des organisations concernées ;
• Règles de boîte aux lettres. Les attaquants créent des règles d'obscurcissement spécifiques, destinées à masquer leurs traces et à effacer toute trace d'activité malveillante dans les boîtes aux lettres des victimes.

Exemples de règles d'obscurcissement de boîtes aux lettres créées par des cybercriminels à la suite d'une prise de contrôle réussie d'un compte.

Infrastructure opérationnelle

L’étude criminalistique de l'attaque a mis en évidence plusieurs proxys, services d'hébergement de données et domaines détournés, qui constituent l'infrastructure opérationnelle des attaquants. Les cybercriminels ont été observés en train d'utiliser des services proxy pour aligner l'origine géographique apparente des activités non autorisées sur celle des victimes ciblées, évitant ainsi les politiques de géo-fencing. En outre, l'utilisation de services proxy fréquemment alternés permet aux acteurs de la menace de masquer leur véritable emplacement et crée un défi supplémentaire pour les défenseurs qui cherchent à bloquer les activités malveillantes.

Au-delà de l'utilisation de services proxy, les cybercriminels ont utilisé certains fournisseurs d'accès à Internet fixes locaux, ce qui pourrait révéler leur emplacement géographique. Parmi ces sources non proxy, on peut citer « Selena Telecom LLC », basé en Russie, et les fournisseurs nigérians « Airtel Networks Limited » et « MTN Nigeria ».

Bien que Proofpoint n'ait pas attribué cette campagne à un acteur connu, il est possible que des cybercriminels russes et nigérians soient impliqués, établissant ainsi un parallèle avec des attaques précédentes.

À la fin du mois de janvier, des pirates informatiques appartenant au groupe Midnight Blizzard, lié au renseignement russe, ont compromis le réseau de Microsoft en exploitant un ancien compte de test doté de privilèges administratifs. Leur méthode a impliqué l'utilisation de la technique de « password spraying » pour accéder à ce compte qui ne bénéficiait pas de l'authentification multifactorielle. Une fois infiltrés dans le système, ils ont abusé du protocole OAuth pour attribuer des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.

L'escalade d'accès a été facilitée par une « grosse erreur de configuration » de Microsoft, permettant à un compte de test hérité d'obtenir des privilèges d'administrateur, bien que la raison de cette configuration et sa persistance n'aient pas été expliquées par les responsables de Microsoft. L'attaque s'est étendue sur deux mois, pendant lesquels les pirates ont surveillé les courriels de cadres supérieurs. D'autres organisations, dont Hewlett Packard Enterprises, ont également été affectées par les activités de Midnight Blizzard, qui ont utilisé des proxies résidentiels pour masquer leurs connexions, compliquant ainsi la détection basée sur les indicateurs de compromission.

Dans une communication ultérieure aux clients, Microsoft a fourni plus de détails sur la manière dont les pirates ont réalisé cette escalade d'accès. Identifiés comme appartenant au groupe Midnight Blizzard, les pirates ont obtenu un accès permanent aux comptes de messagerie privilégiés en exploitant le protocole d'autorisation OAuth, largement utilisé dans l'industrie pour permettre à diverses applications d'accéder aux ressources d'un réseau. Après la compromission, Midnight Blizzard a créé une application malveillante et lui a attribué des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.

Les responsables de Microsoft ont présenté ces événements de manière obscure, minimisant l'ampleur de l'erreur. Ils ont expliqué que des acteurs de la menace, tels que Midnight Blizzard, compromettent des comptes d'utilisateurs pour altérer les autorisations d'applications OAuth, qu'ils peuvent ensuite utiliser à des fins malveillantes pour dissimuler leurs activités. L'abus d'OAuth permet également à ces acteurs de maintenir l'accès aux applications même après avoir perdu l'accès au compte initial compromis.

Midnight Blizzard a exploité son accès initial pour identifier et compromettre une ancienne application OAuth de test, lui conférant un accès élevé à l'environnement de l'entreprise Microsoft. Ils ont ensuite créé d'autres applications OAuth malveillantes, un nouveau compte utilisateur autorisant ces applications à accéder à l'environnement de l'entreprise. Enfin, les cybercriminels ont utilisé l'ancienne application OAuth de test pour lui attribuer le rôle Office 365 Exchange Online full_access_as_app, offrant ainsi un accès aux boîtes aux lettres.

Comment vérifier si vous êtes une cible

Il existe plusieurs signes révélateurs d'un ciblage. Le plus utile est un agent-utilisateur spécifique utilisé pendant la phase d'accès de l'attaque : Mozilla/5.0 (X11 ; Linux x86_64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/120.0.0.0 Safari/537.36. Les cybercriminels utilisent principalement cet agent-utilisateur pour accéder à l'application de connexion "OfficeHome" ainsi qu'à d'autres applications natives de Microsoft365, telles que :

• Office365 Shell WCSS-Client (indicateur d'un accès par navigateur aux applications Office365) ;
• Office 365 Exchange Online (révélateur d'un abus de boîtes aux lettres, d'une exfiltration de données et d'une prolifération de menaces par courrier électronique après la compromission) ;
• My Signins (utilisé par les attaquants pour manipuler l’authentification multifacteur) ;
• Mes applications ;
• Mon profil.

L'incident décrit par Proofpoint met en lumière une sérieuse préoccupation en matière de sécurité pour les utilisateurs de Microsoft Azure, en particulier pour les cadres supérieurs et les organisations ciblées. La campagne sophistiquée d'hameçonnage démontre la nécessité de renforcer les protocoles de sécurité et la sensibilisation des utilisateurs au sein de l'écosystème Azure.

Toutefois, plusieurs aspects méritent d'être examinés. Tout d'abord, la diversité des rôles ciblés suggère une approche multifacette de la part des cybercriminels, soulignant la complexité des défis auxquels les services cloud comme Azure sont confrontés en termes de sécurité. La capacité des cybercriminels à contourner les mesures de géofencing en utilisant des proxys souligne également les failles potentielles dans les défenses de Microsoft Azure.

Il est important de noter que la sécurité informatique est un défi constant pour toutes les grandes plateformes cloud. Cependant, la réaction et la résilience d'une plateforme face à de telles attaques sont cruciales. Il serait intéressant de comparer les pratiques de sécurité de Microsoft Azure avec celles de ses principaux concurrents, tels qu'Amazon Web Services (AWS) et Google Cloud Platform (GCP), pour évaluer la robustesse de leurs approches respectives.

Les trois principaux fournisseurs de services cloud, à savoir Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) détiennent ensemble 62 % du marché de cloud computing, avec une croissance combinée de 42 % au premier trimestre 2022. Chacun offre des fonctionnalités de sécurité solides, telles que pare-feu, chiffrement en transit, gestion de la conformité, protection DDoS, et sécurité physique.

AWS, le plus ancien et le plus établi, se distingue par sa documentation claire, une place de marché étendue pour les modules tiers, un large réseau de partenaires, et une approche de responsabilité partagée claire. Microsoft Azure, le deuxième en termes de popularité, présente une approche centralisée de la gestion des identités et des accès (IAM) avec son Active Directory. Cependant, des problèmes de cohérence et de documentation moins claire sont mentionnés, ainsi qu'une gestion de l'accès des utilisateurs nécessitant un plus grand engagement de ressources.

Google Cloud Platform, le plus récent, offre des fonctionnalités prometteuses axées sur l'ingénierie et l'expertise mondiale. Il adopte également des configurations sécurisées par défaut et propose une approche centralisée de la gestion de la sécurité. Cependant, sa documentation est moins complète, et le marché des modules tiers est moins développé.

Chaque fournisseur a ses forces et faiblesses, ce qui souligne l'importance pour les entreprises de choisir en fonction de leurs besoins spécifiques en matière de sécurité, de gestion et de performance. L’incident présenté par Proofpoint souligne la nécessité d'une surveillance continue et de la mise en place de mécanismes plus robustes pour détecter et prévenir de telles attaques. Il est également crucial que les utilisateurs soient pleinement informés des meilleures pratiques de sécurité et des signes de compromission.

Source : Proofpoint

Et vous ?

Quel est votre avis sur le sujet ?

En quoi la capacité des cybercriminels à contourner les mesures de géofencing en utilisant des proxys souligne-t-elle les failles potentielles dans les défenses de Microsoft Azure ?

Comment la réaction et la résilience de Microsoft Azure face à cet incident se comparent-elles à celles de ses concurrents ?

Voir aussi :

Un compte de test Microsoft piraté s'est vu attribuer des privilèges d'administrateur, comment un compte de test hérité peut-il donner accès à la lecture de tous les comptes Office 365

Microsoft introduit une nouvelle fonctionnalité de sécurité pour la vérification des entreprises en ligne : Microsoft Entra Verified ID introduit la vérification faciale en avant-première

Microsoft monte une nouvelle équipe pour la modernisation de l'infrastructure cloud de M365 via Rust et ravive le débat sur la désignation de Rust comme meilleur gage de sécurisation des logiciels

[Le Graouli]

Moi ce qui me plaît le plus, c’est ce message rassurant qui s'affiche, parfois avec insistance, sur l’écran de mon PC lorsque je connecte sur un site «*Le respect de votre vie privée est notre priorité, nous en prenons soin*» pour m’insérer à tout prix des Cookies totalement inutiles. Certains sites respectent votre choix mais beaucoup trop vous imposent le leur.

[Artemus24]

Salut Le Graouli.

Ce qui m'énerve est de cliquer sur valider ou rejeter ces cookies dont je n'ai que faire.
Il y a aussi ces popup qui surgissent comme un diable de sa boîte quand tu vas sur certains sites.

@+

[Mathis Lucas]

Microsoft affirme que des pirates informatiques russes ont volé son code source après avoir espionné ses dirigeants
ce qui soulève des préoccupations quant aux pratiques de sécurité de l'entreprise

Microsoft serait de nouveau confronté aux actions de pirates informatiques affiliés à la Russie. L'entreprise a révélé en début d'année que des acteurs de la menace ont tenté de s'introduire dans ses systèmes dans le but de voler ses secrets ainsi que les secrets partagés entre Microsoft et ses clients. Elle vient d'annoncer dans un nouveau rapport que l'attaque a conduit au vol d'une partie de son code source. Le rapport initial indiquait que des pirates russes avaient espionné les comptes de courriel de certains membres de son équipe dirigeante. L'attaque serait toujours en cours et Microsoft l'attribue au même groupe que celui à l'origine de piratage SolarWinds en 2020.

Fin janvier, Microsoft a déclaré dans un rapport que des pirates informatiques affiliés à l'État russe se sont introduits dans le système de messagerie électronique interne de Microsoft et ont accédé aux comptes des membres de l'équipe dirigeante, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques. Microsoft ajoute que l'intrusion a commencé fin novembre et a été découverte le 12 janvier. L'ampleur de l'attaque reste indéterminée, même si, dans son premier rapport, Microsoft a précisé qu'un très faible pourcentage des comptes d'entreprise de Microsoft avaient été consultés.

Microsoft attribue l'attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l'entreprise, il s'agit d'un groupe de pirates hautement qualifiés parrainés par l'État russe et qui sont à l'origine de l'intrusion dans les systèmes de SolarWinds il y a quelques années. La violation aurait permis aux pirates d'exfiltrer des identifiants de connexion qu'ils utiliseraient désormais afin de farfouiller dans les systèmes de Microsoft. En effet, l'entreprise a publié vendredi un autre rapport qui révèle que le groupe a également volé du code source et qu'il est peut-être encore en train de fouiller dans ses systèmes informatiques internes.

« Ces dernières semaines, nous avons constaté que Midnight Blizzard utilisait des informations initialement exfiltrées de nos systèmes de messagerie d'entreprise dans le but d'obtenir, ou tenter d'obtenir, un accès non autorisé. Cela inclut l'accès à certains référentiels de code source de Microsoft et à des systèmes internes. À ce jour, nous n'avons trouvé aucune preuve que les systèmes clients hébergés par Microsoft ont été compromis », explique Microsoft dans un billet de blogue. L'on ne sait pas exactement à quel code source Microsoft fait allusion, mais l'entreprise affirme que les pirates poursuivent leurs tentatives.

Le groupe tenterait notamment d'utiliser "les secrets de différents types qu'il a trouvés" pour compromettre davantage Microsoft et potentiellement ses clients. « Certains de ces secrets ont été partagés entre des clients et Microsoft dans des courriels, et à mesure que nous les découvrons dans nos courriels exfiltrés, nous avons pris contact avec ces clients pour les aider à prendre des mesures d'atténuation », précise Microsoft. Il faut rappeler que l'attaque massive de SolarWinds en 2020 a compromis des milliers d'organisations, y compris des entités publiques américaines, dont les départements du Trésor et du Commerce.

L'obtention du code source est une grande victoire pour les pirates, car elle leur permet de découvrir le fonctionnement d'un logiciel et d'en détecter les faiblesses. Ces connaissances peuvent être utilisées ensuite pour lancer des attaques de suivi de manière inattendue. Microsoft est un géant mondial de la technologie dont les produits et services, comme Windows et Exchange, sont largement utilisés, y compris par l'establishment et agence de sécurité nationale. Ainsi, cette révélation a alarmé certains analystes qui ont fait part de leurs inquiétudes croissantes quant à la sécurité des systèmes et des services de Microsoft.

Certains analystes se sont inquiétés des risques pour la sécurité nationale américaine. « Le fait que l'un des plus grands fournisseurs de logiciels soit lui-même en train d'apprendre les choses au fur et à mesure est un peu effrayant. Vous n'avez pas l'assurance, en tant que client, qu'il ne se passe pas quelque chose de plus grave. Ces attaques témoignent également de l'agressivité des pirates », a déclaré Jerome Segura, chercheur principal chercheur en menace de la société de cybersécurité Malwarebytes. Segura a ajouté qu'il est déconcertant que l'attaque soit toujours en cours malgré les efforts déployés par Microsoft.

« C'est le genre de chose qui nous inquiète vraiment. L'acteur de la menace voudrait utiliser les secrets (de Microsoft) pour pénétrer dans les environnements de production, puis compromettre les logiciels et installer des portes dérobées et d'autres choses de ce genre », a déclaré Segura. Dans un document déposé auprès de la Securities and Exchange Commission (SEC), Microsoft a déclaré que l'attaque n'avait pas eu d'impact matériel sur ses activités, mais a averti que cela restait une possibilité, malgré des investissements accrus en matière de sécurité et la coordination avec les autorités chargées de l'application de la loi.

L'attaque aurait eu lieu quelques jours seulement après que Microsoft a annoncé son plan de refonte de la sécurité de ses logiciels à la suite d'attaques critiques contre sa plateforme de cloud Azure. Microsoft a été confronté à plusieurs cyberattaques très médiatisées ces dernières années, notamment le piratage de son serveur de messagerie Exchange qui a compromis environ 30 000 organisations en 2021 et la violation par des pirates affiliés à l'État chinois des courriels du gouvernement américain l'année dernière. Ce qui a poussé les experts à remettre en cause les pratiques en matière de sécurité chez Microsoft.

« Il semble qu'il s'agisse de quelque chose de très ciblé, et si les pirates sont si profondément implantés dans Microsoft, et que Microsoft n'a pas été en mesure de les faire sortir en deux mois, alors il y a une énorme inquiétude », a déclaré du nouvel incident Adam Meyers, vice-président senior de la société de cybersécurité Crowdstrike. Selon les experts, l'objectif principal de pirates Nobelium est la collecte de renseignements. Nobelium ciblerait le plus souvent des gouvernements, des groupes de réflexion, des fournisseurs de services informatiques et des diplomates, en particulier aux États-Unis et en Europe.

Certains experts affirment que Nobelium partage les informations collectées avec les services de renseignements étrangers de la Russie. L'ambassade de Russie à Washington n'a pas commenté les récentes déclarations de Microsoft et n'a pas non plus répondu aux précédentes déclarations de Microsoft sur l'activité de Nobelium. Par ailleurs, les méthodes utilisées par Microsoft pour identifier les auteurs des attaques ou pour attribuer les attaques au groupe Nobelium ne sont pas claires ; et l'entreprise n'a pas fourni d'amples informations à ce sujet dans son nouveau rapport.

Microsoft a déclaré qu'il continue d'enquêter sur les dernières attaques de Nobelium et a ajouté qu'il continuera à partager des mises à jour sur l'incident. « Nos enquêtes actives sur les activités de Midnight Blizzard sont en cours, et les résultats de nos investigations continueront d'évoluer. Nous restons déterminés à partager ce que nous apprenons », a déclaré la firme de Redmond dans son billet de blogue.

Source : Microsoft

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des cyberattaques qui ciblent les systèmes de Microsoft ?
Pourquoi Microsoft ne parvient-il pas à mettre fin à la violation de plusieurs mois ?
Selon vous, les pratiques en matière de sécurité du géant de Redmond sont-elles en cause ?
Quels impacts cette violation de données pourrait avoir sur Microsoft et l'ensemble de ces clients ?
Craignez-vous une violation de la même ampleur que celle du piratage de SolarWinds ou de Microsoft Exchange ?

Voir aussi

Le réseau de Microsoft a été violé par des pirates de l'État russe qui ont exploité un mot de passe faible pour lancer l'attaque, l'intrusion a commencé fin novembre et a été découverte le 12 janvier

Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés

Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre

[skaarj]

Toutes maladies étaient covid, tous problèmes est maintenant Russe...
Le pire dans l'histoire, sont tous ceux qui y croient. Désespérant de faiblesse d'esprit face à tant de grossières propagandes...

[Mathis Lucas]

Une vulnérabilité de Windows signalée par la NSA aurait été exploitée par des pirates russes pour installer des logiciels malveillants
qui exfiltrent les informations d'identification des victimes

Le groupe de pirates informatiques affiliés à la Russie Forest Blizzard exploite une vulnérabilité de Windows (CVE-2022-38028) pour élever les privilèges et voler des informations d'identification et des données à l'aide d'un outil de piratage appelé GooseEgg, jusqu'à présent inconnu. Microsoft indique que GooseEgg favorise l'installation d'autres programmes malveillants avec des privilèges élevés, offrant aux attaquants des capacités comme l'exécution de code à distance, le déploiement de portes dérobées et le déplacement latéral. Les attaques auraient ciblé des organisations gouvernementales, non gouvernementales, d'éducation et de transport, etc.

La vulnérabilité critique CVE-2022-38028 a été signalée à Microsoft pour la première fois par l'Agence nationale de sécurité (NSA) des États-Unis. L'exploitation de CVE-2022-38028, dont la gravité est évaluée à 7,8 sur 10, permet aux attaquants d'obtenir des privilèges système, les plus élevés sous Windows, lorsqu'elle est combinée avec un exploit séparé. Cette vulnérabilité affecte Print Spooler, un composant de gestion des imprimantes qui a déjà été à l'origine de failles critiques. Microsoft avait corrigé la vulnérabilité lors de son Patch Tuesday d'octobre 2022, mais n'avait pas mentionné qu'elle était activement exploitée.

Binaire GooseEgg ajoutant des magasins de pilotes à un répertoire contrôlé par les acteurs de la menace

Lundi, Microsoft a révélé qu'un groupe de pirates informatiques que l'entreprise suit sous le nom de Forest Blizzard (APT28) exploite la vulnérabilité CVE-2022-38028 depuis au moins juin 2020, et peut-être même depuis avril 2019. Selon les gouvernements américain et britannique, Forest Blizzard est lié à la division "Unit 26165" de la Main Intelligence Directorate, un service de renseignement militaire russe mieux connu sous le nom de GRU. Forest Blizzard se concentrerait sur la collecte de renseignements en piratant un large éventail d'organisations, principalement aux États-Unis, en Europe et au Moyen-Orient.

Selon l'avis de sécurité de Microsoft, Forest Blizzard exploite la faille CVE-2022-38028 depuis au moins avril 2019 dans des attaques qui, une fois les privilèges système acquis, utilisent un outil précédemment non documenté que Microsoft a baptisé "GooseEgg". Microsoft a décrit GooseEgg comme un outil de post-compromission qui élève les privilèges sur une machine compromise et fournit une interface "simple" pour installer d'autres logiciels malveillants qui s'exécutent également avec des privilèges système. Selon l'entreprise, ces logiciels malveillants supplémentaires peuvent être personnalisés pour chaque cible.

Ils comprennent notamment des logiciels de vol d'informations d'identification (stealers) et des outils permettant de se déplacer latéralement dans un réseau compromis. GooseEgg est généralement installé à l'aide d'un simple script batch, qui est exécuté après l'exploitation réussie de CVE-2022-38028 ou d'une autre vulnérabilité, telle que CVE-2023-23397, qui, selon l'avis publié lundi, a également été exploitée par Forest Blizzard. Le script est chargé d'installer le binaire GooseEgg, souvent appelé "justice.exe" ou "DefragmentSrv.exe", puis de s'assurer qu'il s'exécute à chaque redémarrage de la machine infectée.

Le groupe de pirates utilise également GooseEgg pour déposer un fichier DLL malveillant intégré (dans certains cas appelé "wayzgoose23.dll") dans le contexte du service PrintSpooler avec les privilèges système. Ce fichier DLL est en fait un lanceur d'applications qui peut exécuter d'autres charges utiles avec des autorisations de niveau système et permet aux attaquants de déployer des portes dérobées, de se déplacer latéralement dans les réseaux des victimes et d'exécuter du code à distance sur les systèmes violés. Microsoft explique :

Microsoft a observé que Forest Blizzard utilisait GooseEgg dans le cadre d'activités post-compromission contre des cibles telles que des organisations gouvernementales, non gouvernementales, éducatives et du secteur des transports d'Ukraine, d'Europe occidentale et d'Amérique du Nord.

Bien qu'il s'agisse d'une simple application de lancement, GooseEgg est capable d'engendrer d'autres applications spécifiées dans la ligne de commande avec des autorisations élevées, ce qui permet aux acteurs de la menace de soutenir tout objectif ultérieur tel que l'exécution de code à distance, l'installation d'une porte dérobée et le déplacement latéral à travers les réseaux compromis.

Microsoft invite les utilisateurs à appliquer la mise à jour de sécurité pour la vulnérabilité Print Spooler publiée en 2022, ainsi que les correctifs pour les vulnérabilités PrintNightmare (CVE-2022-38028, CVE-2023-23397, CVE-2021-34527 et CVE-2021-1675) publiés en 2021. « Les clients qui n'ont pas encore mis en œuvre ces correctifs sont invités à le faire dès que possible pour la sécurité de leur organisation. En outre, comme le service Print Spooler n'est pas nécessaire pour les opérations des contrôleurs de domaine, Microsoft recommande de désactiver le service sur les contrôleurs de domaine », a déclaré l'entreprise.

Forest Blizzard (APT28, Sednit, Sofacy, GRU Unit 26165, et Fancy Bear) a été à l'origine de nombreuses cyberattaques très médiatisées depuis son apparition au milieu des années 2000. Par exemple, il y a un an, les services de renseignement américains et britanniques ont averti que Forest Blizzard avait exploité une faille dans un routeur Cisco pour déployer le logiciel malveillant "Jaguar Tooth", ce qui lui a permis de recueillir des informations sensibles auprès de cibles aux États-Unis et dans l'Union européenne.

Plus récemment, en février, un avis conjoint du FBI, de la NSA et de partenaires internationaux a signalé que Forest Blizzard utilisait des routeurs "Ubiquiti EdgeRouters" piratés pour échapper à la détection lors d'attaques. Ils ont également été associés dans le passé à la violation du Parlement fédéral allemand (Deutscher Bundestag) et aux piratages du Democratic Congressional Campaign Committee (DCCC) et du Democratic National Committee (DNC) avant l'élection présidentielle américaine de 2016.

Deux ans plus tard, les États-Unis ont inculpé les membres de Forest Blizzard pour leur implication dans les attaques du DNC et du DCCC, tandis que le Conseil de l'Union européenne a également sanctionné les membres de Forest Blizzard en octobre 2020 pour le piratage du Parlement fédéral allemand.

L'avis de sécurité de Microsoft indique que l'entreprise a également publié des indicateurs de compromission (indicators of compromise - IOC) associés aux attaques observées, ainsi que des ressources supplémentaires pour aider les organisations à traquer les infections potentielles de GooseEgg.

Source : Microsoft (1, 2)

Et vous ?

Quel est votre avis sur le sujet ?
Pourquoi Microsoft n'a pas informé les utilisateurs que la vulnérabilité CVE-2022-38028 faisait l'objet d'une exploitation active ?
Avez-vous été victime d'une attaque liée à l'exploitation de cette vulnérabilité ? Si oui, partagez votre expérience.

Voir aussi

Les failles de sécurité dans les applications d'IA montent en flèche, le nombre de vulnérabilités Zero Day liées à l'IA a triplé depuis novembre 2023, selon les dernières conclusions de Protect AI

Les attaques de phishing augmentent de 58 % grâce à l'IA, alimentées en partie par la prolifération de stratagèmes basés sur la GenAI, tels que le hameçonnage vocal et le "deepfake phishing", d'après Zscaler

Europol plaide auprès des grandes entreprises de la Tech afin qu'elles abandonnent le chiffrement de bout en bout qui l'empêche de protéger les individus contre la criminalité en ligne

[sami_c]

[B][SIZE=4]
Pourquoi n'a pas informé les utilisateurs que la vulnérabilité CVE-2022-38028 faisait l'objet d'une exploitation active ?

Peut être parce qu’il s'agit d'une porte dérobée en cours d'exploitation par la NSA et le FBI ? ...

[Jules34]

Deux ans plus tard, les États-Unis ont inculpé les membres de Forest Blizzard pour leur implication dans les attaques du DNC et du DCCC, tandis que le Conseil de l'Union européenne a également sanctionné les membres de Forest Blizzard en octobre 2020 pour le piratage du Parlement fédéral allemand.

C'est sur que les Américains ça les saoules, ils déploient le virus Microsoft Office avec le ver "cloud" dans le calme le plus total dans leur colonie logicielle européenne... alors que les Russes jouent au plus malin ça les dépasses !

[e-ric]

Sacrés Russes, ils doivent adorer les Américains en leur jouant l'arroseur arrosé.

[Stéphane le calme]

Quand la sécurité informatique devient un critère de rémunération : Microsoft lie la rémunération de ses cadres à la sécurité suite à des failles de sécurité jugées « évitables »
et une communication estimée insuffisante

Microsoft a annoncé que la rémunération de ses dirigeants serait désormais liée à la sécurité de l’entreprise, suite à une série d’échecs et de violations de sécurité. Cette décision fait suite à des critiques concernant des failles de sécurité jugées « évitables » et une communication estimée insuffisante.

Les efforts de Microsoft en matière de sécurité et de protection de la vie privée ont connu deux années difficiles. Des terminaux mal configurés, des certificats de sécurité malveillants et des mots de passe faibles ont tous causé ou risqué de causer l'exposition de données sensibles, et Microsoft a été critiqué par des chercheurs en sécurité, des législateurs américains et des organismes de réglementation pour la façon dont il a répondu à ces menaces et les a divulguées.

Les violations les plus médiatisées ont impliqué un groupe de hackers basé en Chine, nommé Storm-0558, qui a réussi à pénétrer le service Azure de Microsoft et à collecter des données pendant plus d’un mois à la mi-2023 avant d’être découvert et évincé. Après des mois d’ambiguïté, Microsoft a révélé qu’une série de défaillances de sécurité avait permis à Storm-0558 d’accéder au compte d’un ingénieur, ce qui lui a permis de collecter des données de 25 clients Azure de Microsoft, y compris des agences fédérales américaines.

Fin janvier, Microsoft a reconnu une nouvelle violation de données, déclarant dans un rapport que des pirates informatiques affiliés à l'État russe se sont introduits dans son système de messagerie électronique interne et ont accédé aux comptes des membres de l'équipe dirigeante, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques. Microsoft a ajouté que l'intrusion a commencé fin novembre et a été découverte le 12 janvier.

Microsoft a attribué l'attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l'entreprise, il s'agit d'un groupe de pirates hautement qualifiés parrainés par l'État russe et qui sont à l'origine de l'intrusion dans les systèmes de SolarWinds il y a quelques années. La violation aurait permis aux pirates d'exfiltrer des identifiants de connexion qu'ils utiliseraient désormais afin de farfouiller dans les systèmes de Microsoft. L'entreprise a publié en mars un autre rapport qui révèle que le groupe a également volé du code source et qu'il était peut-être encore en train de fouiller dans ses systèmes informatiques internes.

« Ces dernières semaines, nous avons constaté que Midnight Blizzard utilisait des informations initialement exfiltrées de nos systèmes de messagerie d'entreprise dans le but d'obtenir, ou tenter d'obtenir, un accès non autorisé. Cela inclut l'accès à certains référentiels de code source de Microsoft et à des systèmes internes. À ce jour, nous n'avons trouvé aucune preuve que les systèmes clients hébergés par Microsoft ont été compromis », explique Microsoft dans un billet de blog.

Le groupe tenterait notamment d'utiliser « les secrets de différents types qu'il a trouvés » pour compromettre davantage Microsoft et potentiellement ses clients. « Certains de ces secrets ont été partagés entre des clients et Microsoft dans des courriels, et à mesure que nous les découvrons dans nos courriels exfiltrés, nous avons pris contact avec ces clients pour les aider à prendre des mesures d'atténuation », précise Microsoft. Il faut rappeler que l'attaque massive de SolarWinds en 2020 a compromis des milliers d'organisations, y compris des entités publiques américaines, dont les départements du Trésor et du Commerce.

L'obtention du code source est une grande victoire pour les pirates, car elle leur permet de découvrir le fonctionnement d'un logiciel et d'en détecter les faiblesses. Ces connaissances peuvent être utilisées ensuite pour lancer des attaques de suivi de manière inattendue. Microsoft est un géant mondial de la technologie dont les produits et services, comme Windows et Exchange, sont largement utilisés, y compris par l'establishment et agence de sécurité nationale. Ainsi, cette révélation a alarmé certains analystes qui ont fait part de leurs inquiétudes croissantes quant à la sécurité des systèmes et des services de Microsoft.

Une culture de la sécurité « inadéquate »

Certains analystes se sont inquiétés des risques pour la sécurité nationale américaine. « Le fait que l'un des plus grands fournisseurs de logiciels soit lui-même en train d'apprendre les choses au fur et à mesure est un peu effrayant. Vous n'avez pas l'assurance, en tant que client, qu'il ne se passe pas quelque chose de plus grave. Ces attaques témoignent également de l'agressivité des pirates », a déclaré Jerome Segura, chercheur principal chercheur en menace de la société de cybersécurité Malwarebytes. Segura a ajouté qu'il est déconcertant que l'attaque soit toujours en cours malgré les efforts déployés par Microsoft.

« C'est le genre de chose qui nous inquiète vraiment. L'acteur de la menace voudrait utiliser les secrets (de Microsoft) pour pénétrer dans les environnements de production, puis compromettre les logiciels et installer des portes dérobées et d'autres choses de ce genre », a déclaré Segura. Dans un document déposé auprès de la Securities and Exchange Commission (SEC), Microsoft a déclaré que l'attaque n'avait pas eu d'impact matériel sur ses activités, mais a averti que cela restait une possibilité, malgré des investissements accrus en matière de sécurité et la coordination avec les autorités chargées de l'application de la loi.

Tout cela a abouti à un rapport du US Cyber Safety Review Board, qui a fustigé Microsoft pour sa culture de sécurité « inadéquate », ses « déclarations publiques inexactes » et sa réponse à des failles de sécurité « évitables » :

La Commission estime que cette intrusion était évitable et n'aurait jamais dû se produire. La Commission conclut également que la culture de sécurité de Microsoft était inadéquate et nécessite une refonte, en particulier à la lumière du rôle central de la société dans l'écosystème technologique et du niveau de confiance que les clients placent dans la société pour protéger leurs données et leurs opérations. La Commission est parvenue à cette conclusion sur la base des éléments suivants :

1. la cascade d'erreurs évitables de Microsoft qui ont permis à cette intrusion de réussir ;
2. L'incapacité de Microsoft à détecter par elle-même la compromission de ses joyaux cryptographiques, en s'en remettant à un client pour identifier les anomalies qu'il avait observées ;
3. l'évaluation par la Commission des pratiques de sécurité d'autres fournisseurs de services en nuage, qui ont mis en place des contrôles de sécurité que Microsoft n'a pas effectués ;
4. Le fait que Microsoft n'ait pas détecté la compromission de l'ordinateur portable d'un employé d'une société récemment acquise avant de l'autoriser à se connecter au réseau d'entreprise de Microsoft en 2021 ;
5. La décision de Microsoft de ne pas corriger, en temps opportun, ses déclarations publiques inexactes sur cet incident, y compris une déclaration d'entreprise selon laquelle Microsoft pensait avoir déterminé la cause première probable de l'intrusion alors qu'en fait, elle ne l'a toujours pas fait ; même si Microsoft a reconnu devant la Commission en novembre 2023 que son billet de blog du 6 septembre 2023 sur la cause première était inexact, elle n'a pas mis à jour ce billet avant le 12 mars 2024, alors que la Commission concluait son examen et seulement après les questions répétées de la Commission sur les plans de Microsoft pour publier une correction ;
6. l'observation par la Commission d'un incident distinct, divulgué par Microsoft en janvier 2024, dont l'enquête n'était pas du ressort de la Commission, qui a révélé une compromission permettant à un acteur étatique différent d'accéder à des comptes de messagerie d'entreprise, à des référentiels de code source et à des systèmes internes hautement sensibles de Microsoft ; et
7. la façon dont les produits omniprésents et critiques de Microsoft, qui sous-tendent des services essentiels soutenant la sécurité nationale, les fondements de notre économie, ainsi que la santé et la sécurité publiques, exigent que l'entreprise applique les normes les plus élevées en matière de sécurité, de responsabilité et de transparence.

Pour tenter de redresser la barre, Microsoft a annoncé en novembre 2023 ce qu'elle a appelé la « Secure Future Initiative »

En réponse, Microsoft a lancé l’initiative « Secure Future Initiative » (initiative pour un avenir sûr) en novembre 2023, annonçant une série de plans et de changements dans ses pratiques de sécurité, dont certains ont déjà été mis en œuvre. Dans le cadre de cette initiative, Microsoft a annoncé hier une série de plans et de modifications de ses pratiques de sécurité, y compris quelques changements déjà effectués.

Charlie Bell, vice-président exécutif de la sécurité chez Microsoft, a écrit : « Nous faisons de la sécurité notre priorité absolue chez Microsoft, avant tout le reste – avant toutes les autres fonctionnalités ». « Nous élargissons le champ d'application du SFI, en intégrant les récentes recommandations du CSRB ainsi que les enseignements tirés de Midnight Blizzard, afin de garantir que notre approche de la cybersécurité reste solide et adaptée à l'évolution du paysage des menaces ».

Dans le cadre de ces changements, la rémunération de l’équipe de direction senior de Microsoft dépendra en partie de la réalisation des plans et objectifs de sécurité de l’entreprise, bien que Bell n’ait pas précisé quelle part de la rémunération des dirigeants serait dépendante de ces objectifs de sécurité :

« Nous mobiliserons les piliers et les objectifs élargis de la SFI dans l'ensemble de Microsoft et cette dimension sera prise en compte dans nos décisions de recrutement. En outre, nous instillerons la responsabilité en basant une partie de la rémunération de l'équipe dirigeante de l'entreprise sur les progrès réalisés dans la mise en œuvre de nos plans et de nos étapes en matière de sécurité ».

Trois principes de sécurité

Le message de Microsoft décrit trois principes de sécurité (« secure by design », « secure by default » et « secure operations ») et six « piliers de sécurité » destinés à remédier aux différentes faiblesses des systèmes et des pratiques de développement de Microsoft. L'entreprise affirme qu'elle prévoit de sécuriser 100 % de ses comptes d'utilisateurs par une « authentification multifactorielle sécurisée et résistante à l'hameçonnage », d'appliquer l'accès au moindre privilège à toutes les applications et à tous les comptes d'utilisateurs, d'améliorer la surveillance et l'isolation du réseau et de conserver tous les journaux de sécurité du système pendant au moins deux ans, entre autres promesses. Microsoft prévoit également de nommer de nouveaux responsables adjoints de la sécurité de l'information au sein de différentes équipes d'ingénieurs afin de suivre leurs progrès et de rendre compte à l'équipe de direction et au conseil d'administration.

En ce qui concerne les solutions concrètes que Microsoft a déjà mises en œuvre, Bell écrit que Microsoft a « mis en œuvre l'application automatique de l'authentification multifactorielle par défaut sur plus d'un million de locataires Microsoft Entra ID au sein de Microsoft », supprimé 730 000 applications anciennes et/ou non sécurisées « à ce jour sur les locataires de production et d'entreprise », étendu sa journalisation de sécurité et adopté la norme CWE (Common Weakness Enumeration) pour ses divulgations de sécurité.

Conclusion

Cette initiative marque un tournant dans la manière dont les entreprises technologiques abordent la sécurité et la responsabilité, soulignant l’importance croissante de la cybersécurité dans le paysage des affaires modernes.

Sources : Microsoft, US Cyber Safety Review Board (au format PDF)

Quelle importance accordez-vous à la sécurité informatique dans le choix des produits technologiques que vous utilisez ?
Pensez-vous que lier la rémunération des dirigeants à la sécurité peut effectivement améliorer les pratiques de sécurité d’une entreprise ?
Comment évaluez-vous l’initiative ‘Secure Future Initiative’ de Microsoft par rapport aux efforts de sécurité d’autres entreprises technologiques ?
Quels impacts pensez-vous que cette politique aura sur la culture de la sécurité au sein des grandes entreprises ?
La transparence de Microsoft sur ses failles de sécurité change-t-elle votre perception de l’entreprise ?
Quelles mesures supplémentaires suggéreriez-vous pour renforcer la sécurité des services en ligne ?

[Jules34]

En outre, nous instillerons la responsabilité en basant une partie de la rémunération de l'équipe dirigeante de l'entreprise sur les progrès réalisés dans la mise en œuvre de nos plans et de nos étapes en matière de sécurité

C'est un peu une inversion de la charge de la responsabilité...

Les clients vont pas en avoir grand chose à F qu'on leur dise que c'est José qui a programmé la fonction pourrie de leur programme avec son équipe et qu'il n'aura pas son bonus annuel. Tout le monde s'en fout sauf José justement, qui risque pas d'être super motivé à l'idée de fournir de l'innovation. Il va plutôt passer du temps à stresser et foutre la pression aux équipes de dev, qui sont surement les prochains sur la liste à voir leur rémunération baisser en cas de problème.

Un client achète un produit à Microsoft. Se cacher derrière ses employés c'est vraiment le degré 0 de la responsabilité.

Bref on dirait l'époque des ouvrier engagés sous contrat de louage qui ne pouvait pas prétendre à des indemnisations en cas d'accident du travail.

Face je gagne, pile tu perds, so 2024 !

[Trehinos]

> C'est un peu une inversion de la charge de la responsabilité...

Je ne vois pas en quoi. Du point de vue client, c'est toujours Microsoft le seul responsable.
Mais "Microsoft", sans employé, ça ne produit rien... "Microsoft" sans employé, ne développe pas.

> Se cacher derrière ses employés c'est vraiment le degré 0 de la responsabilité.
Il ne se cachent pas... comme déjà répondu, c'est toujours eux la façade.

Par contre responsabiliser les développeurs, il serait temps !
(je suis développeur)

[rached2005]

C'est un rappel crucial de renforcer nos mesures de sécurité, surtout en utilisant des mots de passe forts et en évitant les pièges du phishing. Il est également important de suivre de près les mises à jour de sécurité et d'avoir une stratégie de réponse aux incidents bien définie en cas de compromission.