‍Lepiratage des courriels d'entreprise de Microsoftincite au changement

Le piratage récent de comptes de messagerie d'entreprise Microsoft® a persuadé Microsoft d'opérer un changement fondamental dans son approche de la cybersécurité des entreprises.

Le piratage

Le 12 janvier 2024, l'équipe de cybersécurité de Microsoft a détecté une attaque sur ses systèmes d'entreprise et a immédiatement activé son processus de réponse pour atténuer et arrêter l'attaque. L'enquête de Microsoft a révélé que l'attaque avait commencé en novembre 2023 par une attaque par pulvérisation de mots de passe (une attaque par force brute utilisant une liste de mots de passe faibles courants pour accéder à des centaines de comptes) pour compromettre le compte d'un locataire de test non productif.

À partir de là, l'auteur de la menace a utilisé les autorisations du compte existant pour accéder aux comptes de messagerie et aux documents joints des cadres supérieurs de Microsoft et des employés travaillant principalement dans les domaines de la cybersécurité et du droit.

Microsoft a identifié l'acteur de la menace comme étant Midnight Blizzard (également connu sous le nom de Nobelium), une organisation parrainée par le gouvernement russe. Nobelium est à l'origine de la violation, en décembre 2020, d'au moins neuf agences américaines, en utilisant le logiciel de l'entrepreneur fédéral SolarWinds® pour accéder aux systèmes de messagerie non classifiés des agences afin de suivre la manière dont le gouvernement américain répondait aux violations de Nobelium.

À l'instar de l'attaque SolarWinds, l'enquête menée par Microsoft sur l'attaque des systèmes d'entreprise de Microsoft a révélé que l'auteur de la menace recherchait des informations relatives à Midnight Blizzard lui-même.

Microsoft a communiqué les premiers détails de l'attaque dans un message du¹⁹ janvier du Microsoft Security Response Center, puis a donné des conseils de réponse dans un message du²⁵ janvier de Microsoft Threat Intelligence. Ce dernier a révélé que Midnight Blizzard avait ciblé d'autres entreprises technologiques internationales en plus de Microsoft. Cette observation a été confirmée par une déclaration de Hewlett Packard Enterprise (HPE) à la SEC, révélant que Midnight Blizzard avait violé l'environnement de messagerie électronique hébergé dans le nuage de HPE en mai 2023.

Comment le piratage s'est-il produit ?

Comme indiqué plus haut, le piratage du courrier électronique de Microsoft a utilisé une attaque par pulvérisation de mot de passe pour compromettre le compte d'un ancien locataire de test non productif. Ce compte a enfreint deux règles fondamentales de cybersécurité. Premièrement, le compte avait un mot de passe facile à deviner. Deuxièmement, l'authentification multifactorielle (MFA) n'était pas activée sur le compte.

Microsoft a admis dans son message du²⁵ janvier que si ce compte avait été déployé aujourd'hui, la politique standard de Microsoft et les flux de travail auraient assuré la mise en place de l'AMF.

Une fois que Midnight Blizzard a obtenu l'accès via le compte de test de messagerie compromis, ils ont identifié et ensuite compromis une application OAuth de test avec un accès élevé à l'environnement d'entreprise de Microsoft. (NOTE : OAuth est un protocole d'autorisation ouvert qui permet à une application ou à un site web d'accéder aux données d'une autre application ou d'un autre site web, par exemple en envoyant des fichiers stockés dans le nuage à un autre utilisateur par courrier électronique, ou en permettant à un site web comme ESPN.com d'accéder à votre profil Facebook sans fournir votre mot de passe Facebook).

Midnight Blizzard a ensuite créé d'autres applications OAuth malveillantes et un nouveau compte utilisateur qui a permis aux applications OAuth malveillantes d'accéder à l'environnement de l'entreprise Microsoft. Enfin, Midnight Blizzard a utilisé l'ancienne application OAuth de test compromise pour leur accorder un rôle Office 365 Exchange Online qui permet d'accéder aux boîtes aux lettres des employés.

Midnight Blizzard a profité de l'existence d'un ancien compte de test par courrier électronique et d'une ancienne application OAuth de test qui n'ont jamais été mis à jour pour répondre aux normes de cybersécurité modernes.

Qu'est-ce que Microsoft change dans son dispositif de sécurité ?

En novembre 2023, Microsoft a annoncé son initiative Secure Future (SFI) qui rassemble toutes les parties de Microsoft pour apporter des améliorations substantielles à la protection de la cybersécurité. L'initiative s'efforce de trouver un équilibre entre la sécurité et le risque commercial. Du point de vue des risques commerciaux, la réalisation d'un audit visant à identifier et à sécuriser tous les anciens comptes ou applications créés (puis oubliés) au cours des quelque 50 ans d'histoire de Microsoft, ainsi que la modification d'une myriade de processus commerciaux liés à l'établissement et à la sécurisation de nouveaux comptes et applications, est une tâche dont l'accomplissement nécessite un personnel et un temps considérables.

Malheureusement, Midnight Blizzard est très doué pour exploiter les comptes existants et les applications OAuth afin de pénétrer dans les systèmes d'entreprise et d'accéder aux informations de l'entreprise et de ses clients. Conscient de cette expertise, Microsoft a reconnu la nécessité de sécuriser ses anciens comptes et applications le plus tôt possible, comme le souligne l'article publié le¹⁹ janvier par le Microsoft Security Response Center :

"Nous agirons immédiatement pour appliquer nos normes de sécurité actuelles aux systèmes hérités et aux processus commerciaux internes appartenant à Microsoft, même si ces changements risquent de perturber les processus commerciaux existants. Cela entraînera probablement un certain niveau de perturbation pendant que nous nous adaptons à cette nouvelle réalité, mais il s'agit d'une étape nécessaire, et seulement la première d'une série de mesures que nous prendrons pour adopter cette philosophie." 

Que pouvez-vous faire pour protéger vos clients et vos applications ?

Comme Microsoft, un audit des anciens comptes et des applications OAuth, suivi d'une action visant à éliminer ceux qui ne sont plus utilisés et à sécuriser ceux qui le sont encore à l'aide de normes de cybersécurité modernes, est une première étape nécessaire. Microsoft a partagé d'autres recommandations dans son billet du²⁵ janvier mentionné ci-dessus.

Les éditeurs de logiciels indépendants, les fournisseurs de services de gestion et les revendeurs qui doivent fournir à leurs clients un accès Web sécurisé aux applications Windows peuvent évaluer la technologie utilisée pour rendre ces applications accessibles aux utilisateurs, notamment :

• Le protocole de communication réseau utilisé est-il sécurisé ? (REMARQUE : si vous utilisez le protocole Microsoft Remote Desktop Protocol (RDP), selon Sophos, une société internationale de sécurité informatique, RDP reste "l'un des outils les plus utilisés" pour exploiter des informations d'identification compromises en vue d'un accès interne ; voir notre article de blog pour plus de détails).
• Paramètres par défaut - un administrateur ou un mauvais acteur peut-il activer le partage des ressources du serveur ou du client ? 
• Authentification multi-facteurs - votre solution d'accès à distance permet-elle l'authentification multi-facteurs ? Le piratage de Microsoft décrit ci-dessus a été en partie rendu possible par l'absence d'authentification multifactorielle sur une ancienne application de messagerie électronique de test.
• Signature unique - votre solution d'accès à distance prend-elle en charge les solutions de signature unique ? Le piratage de Microsoft décrit ci-dessus a été rendu possible en partie grâce à un mot de passe facile à deviner.

Si votre solution d'accès basée sur le web rend votre application et les données de vos clients vulnérables aux mauvais acteurs, pensez à GO-Global.

• RapidX Protocol (RXP) - RXP est un protocole propriétaire à faible largeur de bande pour la connectivité sur les lignes série. Il est adaptatif, utilise plusieurs couches de compression et est optimisé pour garantir l'utilisation la plus faible possible de la bande passante. De plus, comme RXP est une source fermée, il offre une défense supplémentaire contre les attaquants, par rapport aux protocoles à source ouverte tels que Microsoft RDP, où des faiblesses de sécurité ont été trouvées et exploitées.
• Paramètres par défaut - par conception, toutes les options de configuration qui permettent le partage des ressources du serveur ou du client sont désactivées. En outre, GO-Global ne publie aucune application par défaut.
• Authentification à deux facteurs (2FA) -GO-Global fournit 2FA, une fonction d'authentification avancée qui offre une couche de sécurité supplémentaire en demandant aux utilisateurs d'entrer un code à 6 chiffres à partir d'une application d'authentification sur un téléphone intelligent, en plus de leur nom d'utilisateur et de leur mot de passe.
• Prise en charge de l'authentification unique pour OpenID® Connect (OIDC) - permet aux organisations d'utiliser des fournisseurs d'identité OIDC comme Okta® et Microsoft® Active Directory Federated Services (ADFS) pour l'authentification unique dans les hôtes Windows de GO-Global.

L'approche multicouche de GO-Global pour sécuriser les applications Windows et les données des clients réduit les risques liés aux acteurs malveillants. Pour en savoir plus ici.

Pour voir les tarifs de GO-Global pour les utilisateurs simultanés avec SSO, et calculer votre tarif GO-Global estimé, cliquez ici.

Pour demander une démonstration, cliquez ici; pour un essai gratuit de 30 jours de GO-Global, cliquez ici.