Microsoft rend compte des attaques analysées sur l'échange cloud. Les attaquants ont pénétré les comptes d'échange cloud en utilisant le credential stuffing, les mots de passe connus des violations de données précédentes - le tout sans authentification multifacteur (MFA). Ensuite, tout a été mis en place pour le spam de masse via ces comptes.
Les chercheurs de Microsoft ont récemment enquêté sur une attaque au cours de laquelle des applications malveillantes d'autorisation ouverte (OAuth) ont été déployées sur des locataires de cloud compromis, puis utilisées pour contrôler les paramètres d'Exchange Online et diffuser du spam. L'enquête a révélé que l'acteur de la menace avait lancé des attaques de bourrage d'informations d'identification contre des comptes à haut risque sur lesquels l'authentification multifacteur (MFA) n'était pas activée et avait exploité les comptes d'administrateur non sécurisés pour obtenir un accès initial.
L'accès non autorisé au locataire cloud a permis à l'acteur de créer une application compatible OAuth qui a ajouté un connecteur entrant malveillant sur le serveur de messagerie. L'acteur a ensuite utilisé le connecteur pour envoyer des spams qui semblaient provenir directement du domaine. Même si un administrateur modifiait ultérieurement le mot de passe d'accès à son échange cloud, les attaquants pourraient continuer à envoyer le spam car ils pourraient toujours s'identifier à partir de l'application placée avec OAuth.
Utilisation abusive croissante des applications OAuth
Microsoft a observé la popularité croissante de l'utilisation abusive des applications OAuth. L'hameçonnage par consentement est l'une des premières utilisations malveillantes observées des applications OAuth dans la nature. Les attaques de phishing par consentement visent à inciter les utilisateurs à accorder des autorisations à des applications OAuth malveillantes pour accéder aux services cloud légitimes des utilisateurs (serveurs de messagerie, stockage de fichiers, API de gestion, etc.). Ces dernières années, Microsoft a observé que de plus en plus d'acteurs malveillants, y compris des acteurs d'États-nations, utilisent des applications OAuth à diverses fins malveillantes - communication de commande et de contrôle (C2), portes dérobées, hameçonnage, redirections, etc.
Cette attaque récente impliquait un réseau d'applications à locataire unique installées dans des organisations compromises et utilisées comme plate-forme d'identité de l'acteur pour mener l'attaque. Une fois le réseau découvert, toutes les applications associées ont été arrêtées et des notifications ont été envoyées aux clients, y compris les actions correctives recommandées.
Tous les comptes abusés sans utilisation de MFA
Dans un article de blog, Microsoft montre comment le chemin technique de l'attaque a fonctionné, ainsi que la campagne de spam qui a suivi. L'article fournit également des conseils aux défenseurs sur la manière de protéger les organisations contre cette menace et sur la manière dont les technologies de sécurité Microsoft la détectent.
Plus sur Microsoft.com
À propos de Microsoft Allemagne Microsoft Deutschland GmbH a été fondée en 1983 en tant que filiale allemande de Microsoft Corporation (Redmond, USA). Microsoft s'engage à donner à chaque personne et à chaque organisation de la planète les moyens d'en faire plus. Ce défi ne peut être relevé qu'ensemble, c'est pourquoi la diversité et l'inclusion sont solidement ancrées dans la culture d'entreprise depuis le tout début. En tant que premier fabricant mondial de solutions logicielles productives et de services modernes à l'ère du cloud intelligent et de la périphérie intelligente, ainsi qu'en tant que développeur de matériel innovant, Microsoft se considère comme un partenaire de ses clients afin de les aider à tirer parti de la transformation numérique. La sécurité et la confidentialité sont des priorités absolues lors du développement de solutions. En tant que plus grand contributeur au monde, Microsoft pilote la technologie open source via sa principale plateforme de développement, GitHub. Avec LinkedIn, le plus grand réseau de carrière, Microsoft promeut le réseautage professionnel dans le monde entier.