Microsoft a révélé la semaine dernière avoir découvert que ses systèmes d'entreprise avaient été compromis par des pirates informatiques soutenus par l'État russe et à l'origine de l'attaque SolarWinds. Les pirates ont pu accéder aux comptes de messagerie de certains membres de l'équipe de direction de Microsoft, les surveillant potentiellement pendant des semaines ou des mois.
Alors que Microsoft n'a pas fourni beaucoup de détails sur la manière dont les attaquants ont obtenu l'accès lors de sa première divulgation à la Securities and Exchange Commission vendredi soir, le fabricant de logiciels a maintenant publié une analyse préliminaire de la manière dont les pirates ont violé ses protections de sécurité. Microsoft a également averti que le groupe de piratage informatique sur le thème de la météo, connu sous le nom de Nobelium ou « Midnight Blizzard », comme l'appelle Microsoft, avait attaqué d'autres organisations.
Nobelium a initialement accédé aux systèmes Microsoft via une attaque par pulvérisation de mot de passe. Cette attaque est une attaque par force brute dans laquelle les pirates utilisent un dictionnaire de mots de passe potentiels pour attaquer un compte. De plus, l’authentification à deux facteurs n’était pas activée sur le compte du locataire de test hors production compromis. Microsoft a déclaré que Nobelium "a adapté son attaque par pulvérisation de mot de passe pour cibler un nombre limité de comptes, en utilisant un nombre plus restreint de tentatives pour échapper à la détection".
Dans cette attaque, le groupe « a exploité son accès initial pour identifier et compromettre une ancienne application de test OAuth qui disposait d'un accès avancé à l'environnement d'entreprise de Microsoft ». OAuth est une norme ouverte largement utilisée pour l'authentification basée sur des jetons. Il est couramment utilisé sur le Web pour vous permettre de vous connecter à des applications et à des services sans donner votre mot de passe à un site Web. Pensez aux sites Web auxquels vous pourriez vous connecter à l'aide de votre compte Gmail. C'est là qu'OAuth entre en jeu.
Un accès élevé a permis au groupe de créer davantage d'applications OAuth malveillantes et de créer des comptes pour accéder à l'environnement d'entreprise de Microsoft et, finalement, à son service Office 365 Exchange Online, accédant ainsi aux boîtes de réception de courrier électronique.
L'équipe de sécurité de Microsoft explique : « MidnightBlizzard exploite ces applications OAuth malveillantes pour authentifier les comptes de messagerie Microsoft Exchange Online et Microsoft Business.
Microsoft n'a pas révélé combien de comptes de messagerie d'entreprise ont été ciblés et consultés, mais la société l'a précédemment décrit comme « un très petit sous-ensemble de comptes de messagerie d'entreprise Microsoft, comprenant des membres de notre équipe de direction et des employés des fonctions de cybersécurité, juridiques et autres ».
Microsoft n'a toujours pas divulgué le calendrier exact pendant lequel les pirates ont surveillé son équipe de direction et d'autres employés. La première attaque a eu lieu fin novembre 2023, mais Microsoft n’en a eu connaissance que le 12 janvier. Cela pourrait signifier que les attaquants espionnent les dirigeants de Microsoft depuis près de deux mois.
Hewlett Packard Enterprise (HPE) a révélé plus tôt cette semaine que le même groupe de pirates avait déjà eu accès à son « environnement de messagerie basé sur le cloud ». HPE n'a pas nommé le fournisseur, mais la société a révélé que l'incident était « probablement lié » à un « nombre limité d'exfiltrations de fichiers SharePoint [Microsoft] dès mai 2023 ».
L'attaque survient quelques jours seulement après que Microsoft a annoncé son intention de remanier la sécurité de ses logiciels suite à une attaque majeure sur son cloud Azure. Il s’agit du dernier incident de cybersécurité rencontré par Microsoft. Auparavant, en 2021, 30 000 serveurs de messagerie d'organisations avaient été piratés en raison d'une vulnérabilité de Microsoft Exchange Server. L'année dernière, des pirates chinois ont envahi les courriels du gouvernement américain via une vulnérabilité du cloud Microsoft. Microsoft était également au centre de l'attaque massive contre SolarWinds il y a près de trois ans, et le même groupe Nobelium était à l'origine de cette attaque embarrassante par courrier électronique de dirigeants.
Microsoft a admis que son compte de test clé ne dispose pas d'une authentification à deux facteurs, ce qui peut inquiéter la communauté de la cybersécurité. Même s'il ne s'agissait pas d'une vulnérabilité dans les logiciels Microsoft, il s'agissait d'un environnement de test mal configuré qui permettait aux pirates de parcourir silencieusement le réseau d'entreprise de Microsoft. Plus tôt cette semaine, George Kurtz, PDG de CrowdStrike, a demandé dans une interview à CNBC : « Comment un environnement de test hors production a-t-il conduit à la compromission des plus hauts responsables de Microsoft ? Je pense qu'il y a plus à venir. "
Plus d'informations ont été publiées, mais certains détails clés manquent encore. Microsoft affirme que si le même environnement de test hors production était déployé aujourd'hui, « des politiques et des flux de travail Microsoft appliqués garantiraient que l'authentification MFA et nos protections proactives soient activées » pour mieux se protéger contre ces attaques. Microsoft a encore beaucoup à expliquer, surtout s'il veut convaincre ses clients qu'il améliore réellement la façon dont ses logiciels et services sont conçus, construits, testés et exécutés pour mieux se protéger contre les menaces de sécurité.
apprendre encore plus:
https://www.microsoft.com/en-us/security/blog/2024/01/25/midnight-blizzard-guidance-for-responders-on-nation-state-attack/