IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Windows Discussion :

Microsoft affirme que des pirates russes ont volé son code source après avoir espionné ses dirigeants


Sujet :

Windows

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2018
    Messages
    2 135
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Mai 2018
    Messages : 2 135
    Points : 158 436
    Points
    158 436
    Par défaut Microsoft affirme que des pirates russes ont volé son code source après avoir espionné ses dirigeants
    Le réseau de Microsoft a été violé par des pirates de l'État russe qui ont exploité un mot de passe faible pour compromettre le réseau de l'entreprise, l'intrusion a commencé fin novembre et a été découverte le 12 janvier

    Des pirates informatiques russes soutenus par l'État ont accédé aux courriels de hauts responsables de Microsoft, selon l'entreprise.

    Des pirates russes soutenus par des États se sont introduits dans le système de messagerie électronique de Microsoft et ont accédé aux comptes des membres de l'équipe dirigeante de l'entreprise, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques, a déclaré l'entreprise vendredi.

    Dans un billet de blog, Microsoft indique que l'intrusion a commencé fin novembre et a été découverte le 12 janvier. L'équipe de pirates russes hautement qualifiés à l'origine de l'intrusion dans SolarWinds est responsable de cette intrusion.

    Un "très faible pourcentage" des comptes d'entreprise de Microsoft ont été consultés, a déclaré la société, et certains courriels et documents joints ont été volés.

    Un porte-parole de la société a déclaré que Microsoft n'avait pas de commentaire à faire dans l'immédiat sur le nombre de membres de sa haute direction dont les comptes de messagerie ont été violés. Dans un document réglementaire déposé vendredi, Microsoft a déclaré avoir pu supprimer l'accès des pirates aux comptes compromis le 13 janvier ou aux alentours de cette date.

    "Nous sommes en train de notifier les employés dont les courriels ont été consultés", a déclaré Microsoft, ajoutant que son enquête indique que les pirates ciblaient initialement les comptes de courriel pour y trouver des informations liées à leurs activités.

    La SEC (Securities and Exchange Commission) exige des entreprises qu'elles divulguent rapidement les failles de sécurité

    La divulgation de Microsoft intervient un mois après l'entrée en vigueur d'une nouvelle règle de la Securities and Exchange Commission (SEC), qui oblige les entreprises cotées en bourse à divulguer les failles susceptibles d'avoir un impact négatif sur leurs activités. Cette règle leur donne quatre jours pour le faire, à moins qu'elles n'obtiennent une dérogation pour des raisons de sécurité nationale.

    Dans le document déposé vendredi auprès de la SEC, Microsoft a déclaré qu'"à la date de ce document, l'incident n'a pas eu d'impact matériel" sur ses activités. Elle a ajouté qu'elle n'avait toutefois pas "déterminé si l'incident était raisonnablement susceptible d'avoir un impact matériel" sur ses finances.

    Microsoft, dont le siège se trouve à Redmond, dans l'État de Washington, a déclaré que les pirates de l'agence russe de renseignement étranger SVR avaient réussi à accéder au système en compromettant les informations d'identification d'un compte de test "ancien", ce qui laissait supposer que le code était obsolète. Après avoir pris pied, ils ont utilisé les autorisations du compte pour accéder aux comptes de l'équipe dirigeante et d'autres personnes. La technique d'attaque par force brute utilisée par les pirates est appelée "password spraying".

    L'acteur de la menace utilise un seul mot de passe commun pour tenter de se connecter à plusieurs comptes. Dans un billet de blog publié en août, Microsoft a décrit comment son équipe de renseignement sur les menaces a découvert que la même équipe de pirates russes avait utilisé cette technique pour tenter de voler les informations d'identification d'au moins 40 organisations mondiales différentes par l'intermédiaire des chats Microsoft Teams.

    "L'attaque n'était pas le résultat d'une vulnérabilité dans les produits ou services Microsoft", a déclaré l'entreprise sur son blog. "À ce jour, rien ne prouve que l'auteur de la menace ait eu accès aux environnements des clients, aux systèmes de production, au code source ou aux systèmes d'intelligence artificielle. Nous informerons nos clients si une action est nécessaire."

    Microsoft appelle l'unité de piratage Midnight Blizzard. Avant de revoir sa nomenclature des acteurs de la menace l'année dernière, elle appelait le groupe Nobelium. La société de cybersécurité Mandiant, qui appartient à Google, appelle le groupe Cozy Bear.

    Dans un billet de blog datant de 2021, Microsoft a qualifié la campagne de piratage SolarWinds d'"attaque d'État-nation la plus sophistiquée de l'histoire". Outre les agences gouvernementales américaines, dont les départements de la justice et du trésor, plus d'une centaine d'entreprises privées et de groupes de réflexion ont été compromis, notamment des fournisseurs de logiciels et de télécommunications.

    Le SVR se consacre principalement à la collecte de renseignements. Il cible principalement les gouvernements, les diplomates, les groupes de réflexion et les fournisseurs de services informatiques aux États-Unis et en Europe.

    Nom : Microsoft-1.png
Affichages : 7287
Taille : 13,2 Ko

    Mesures prises par Microsoft à la suite d'une attaque perpétrée par un agent de l'État Midnight Blizzard

    L'équipe de sécurité de Microsoft a détecté une attaque d'un État-nation sur nos systèmes d'entreprise le 12 janvier 2024 et a immédiatement activé notre processus de réponse pour enquêter, interrompre l'activité malveillante, atténuer l'attaque et empêcher l'acteur de la menace d'accéder à d'autres systèmes. Microsoft a identifié l'acteur de la menace comme étant Midnight Blizzard, l'acteur parrainé par l'État russe également connu sous le nom de Nobelium. Dans le cadre de notre engagement permanent en faveur d'une transparence responsable, récemment affirmé dans notre Secure Future Initiative (SFI), nous partageons cette mise à jour.

    À partir de la fin novembre 2023, l'auteur de la menace a utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de locataire de test hors production et prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d'entreprise Microsoft, y compris des membres de notre équipe de direction et des employés de nos fonctions de cybersécurité, juridiques et autres, et a exfiltré des courriels et des documents joints. L'enquête indique qu'ils ont d'abord ciblé des comptes de messagerie pour y trouver des informations relatives à Midnight Blizzard lui-même. Nous sommes en train de notifier les employés dont les courriels ont été consultés.

    L'attaque ne résulte pas d'une vulnérabilité dans les produits ou services de Microsoft. À ce jour, rien ne prouve que l'auteur de la menace ait eu accès aux environnements des clients, aux systèmes de production, au code source ou aux systèmes d'intelligence artificielle. Nous informerons nos clients si des mesures doivent être prises.

    Cette attaque met en évidence le risque permanent que représentent pour toutes les organisations des acteurs de la menace bien financés par des États-nations comme Midnight Blizzard.

    Comme nous l'avons dit à la fin de l'année dernière lorsque nous avons annoncé l'initiative Secure Future (SFI), compte tenu de la réalité des acteurs de la menace qui disposent de ressources et sont financés par des États-nations, nous sommes en train de modifier l'équilibre que nous devons trouver entre la sécurité et le risque commercial - le type de calcul traditionnel n'est tout simplement plus suffisant. Pour Microsoft, cet incident a mis en évidence la nécessité urgente d'agir encore plus vite. Nous allons agir immédiatement pour appliquer nos normes de sécurité actuelles aux systèmes hérités et aux processus commerciaux internes appartenant à Microsoft, même si ces changements risquent de perturber les processus commerciaux existants.

    Cela entraînera probablement un certain niveau de perturbation pendant que nous nous adaptons à cette nouvelle réalité, mais il s'agit d'une étape nécessaire, et seulement la première d'une série de mesures que nous prendrons pour adopter cette philosophie.

    Nous poursuivons notre enquête et prendrons des mesures supplémentaires en fonction des résultats de cette enquête. Nous continuerons à travailler avec les forces de l'ordre et les autorités de régulation compétentes. Nous sommes fermement décidés à partager davantage d'informations et nos enseignements, afin que la communauté puisse bénéficier à la fois de notre expérience et de nos observations sur l'acteur de la menace. Nous fournirons des détails supplémentaires le cas échéant.
    Source : Microsoft

    Et vous ?

    Quel est votre avis sur la situation ?

    Voir aussi :

    Azure AD: un ingénieur Microsoft s'est fait pirater son compte et a exposé des utilisateurs de haut niveau, des hackers ont volé une clé de signature dans un crash dump

    Facebook et Microsoft sont les marques les plus usurpées par les cybercriminels pour leurs opérations de phishing, selon un rapport de Vade sur le premier semestre 2023

    Microsoft affirme que des pirates informatiques liés à la Russie sont à l'origine de dizaines d'attaques, de phishing par Teams
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Homme Profil pro
    Urbaniste
    Inscrit en
    Août 2023
    Messages
    386
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Urbaniste

    Informations forums :
    Inscription : Août 2023
    Messages : 386
    Points : 785
    Points
    785
    Par défaut
    Bonjour,

    sur quelle base l'attribution des attaquants est réalisée ?
    sur quelle base est déterminée le niveau de technicité des attaquants ?

    ...compromettant les informations d'identification d'un compte de test "ancien", ce qui laissait supposer que le code était obsolète. Après avoir pris pied, ils ont utilisé les autorisations du compte pour accéder aux comptes de l'équipe dirigeante et d'autres personnes...
    Donc en réussissant à déterminer le mot de passe d'un compte test,
    ils ont réussit à déterminer les mots de passe des dirigeants
    avec une technique de force brute

    Il n'existait donc aucune politique de sécurité par gestion de domaine,
    de pare feu etc

    Et cette société est dans le top 5 des capitalisations mondiale ?



    Bonne journée.

  3. #3
    Expert confirmé Avatar de AoCannaille
    Inscrit en
    Juin 2009
    Messages
    1 413
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 1 413
    Points : 4 734
    Points
    4 734
    Par défaut
    Citation Envoyé par unanonyme Voir le message
    Il n'existait donc aucune politique de sécurité par gestion de domaine,
    de pare feu etc

    Et cette société est dans le top 5 des capitalisations mondiale ?



    Bonne journée.
    Et cette société est à l'origine de solutions avec des configurations par défaut et des recommandations pour toutes les autres sociétés du monde, ou presque.

  4. #4
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2019
    Messages
    1 838
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2019
    Messages : 1 838
    Points : 36 228
    Points
    36 228
    Par défaut Un compte de test Microsoft piraté s'est vu attribuer des privilèges d'administrateur
    Un compte de test Microsoft piraté s'est vu attribuer des privilèges d'administrateur,
    comment un compte de test hérité peut-il donner accès à la lecture de tous les comptes Office 365

    Des pirates informatiques, appartenant au groupe Midnight Blizzard lié au renseignement russe, ont compromis le réseau de Microsoft en exploitant un ancien compte de test doté de privilèges administratifs. Les pirates ont utilisé la technique de « password spraying » pour accéder à ce compte non protégé par l'authentification multifactorielle. Une fois dans le système, ils ont abusé du protocole OAuth pour attribuer des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.

    Cette escalade d'accès a été rendue possible par une « grosse erreur de configuration » de la part de Microsoft, qui a permis à un compte de test hérité d'obtenir des privilèges d'administrateur. Les responsables de Microsoft n'ont pas expliqué la raison de cette configuration et pourquoi elle a persisté. L'attaque a duré deux mois, pendant lesquels les pirates ont surveillé les courriels de cadres supérieurs. D'autres organisations, dont Hewlett Packard Enterprises, ont également été touchées par les activités de Midnight Blizzard. Les pirates ont utilisé des proxies résidentiels pour masquer leurs connexions, rendant la détection basée sur les indicateurs de compromission difficile.


    Nom : Security.jpg
Affichages : 361408
Taille : 94,8 Ko

    Dans un message informant les clients des résultats de l'enquête en cours, Microsoft a fourni davantage de détails sur la façon dont les pirates ont réussi cette escalade importante. Appartenant au groupe Midnight Blizzard selon l'identification de Microsoft, les pirates ont obtenu un accès permanent aux comptes de messagerie privilégiés en exploitant le protocole d'autorisation OAuth, largement utilisé dans l'industrie pour permettre à diverses applications d'accéder aux ressources d'un réseau. Après la compromission, Midnight Blizzard a créé une application malveillante et lui a attribué des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.

    Cependant, dans une mise à jour, les responsables de Microsoft ont décrit ces événements de manière plutôt obscure, minimisant ainsi l'ampleur de cette grave erreur. Ils ont expliqué que les acteurs de la menace, comme Midnight Blizzard, compromettent des comptes d'utilisateurs pour altérer les autorisations d'applications OAuth, qu'ils peuvent ensuite utiliser à des fins malveillantes pour dissimuler leurs activités. L'abus d'OAuth permet également à ces acteurs de maintenir l'accès aux applications même après avoir perdu l'accès au compte initial compromis.

    Midnight Blizzard a exploité son accès initial pour identifier et compromettre une ancienne application OAuth de test, lui conférant un accès élevé à l'environnement de l'entreprise Microsoft. Ils ont ensuite créé d'autres applications OAuth malveillantes, un nouveau compte utilisateur autorisant ces applications à accéder à l'environnement de l'entreprise. Enfin, les cybercriminels ont utilisé l'ancienne application OAuth de test pour lui attribuer le rôle Office 365 Exchange Online full_access_as_app, offrant ainsi un accès aux boîtes aux lettres.

    Autorisation OAuth 2.0 avec Microsoft Entra ID

    Le protocole OAuth 2,0 est le protocole de l’industrie pour l’autorisation. Il permet à un utilisateur d’accorder un accès limité à ses ressources protégées. Conçu pour fonctionner spécifiquement avec le protocole HTTP (Hypertext Transfer Protocol), OAuth sépare le rôle du client du propriétaire de la ressource. Le client demande l’accès aux ressources contrôlées par le propriétaire de la ressource et hébergées par le serveur de ressources. Le serveur de ressources émet des jetons d’accès avec l’approbation du propriétaire de la ressource. Le client utilise les jetons d’accès pour accéder aux ressources protégées hébergées par le serveur de ressources.

    OAuth 2,0 est directement lié à OpenID Connect (OIDC). Étant donné que OIDC est une couche d’authentification et d’autorisation reposant sur OAuth 2,0, il n’est pas compatible avec OAuth 1,0. Microsoft Entra ID prend en charge tous les flux OAuth 2.0.

    Nom : aouth.jpg
Affichages : 8305
Taille : 49,0 Ko

    Composants du système

    • Utilisateur : Demande un service à partir de l’application Web (application). L’utilisateur est généralement le propriétaire de la ressource qui détient les données et qui a le pouvoir d’autoriser les clients à accéder aux données ou à la ressource ;
    • Navigateur Web : Le navigateur Web avec lequel l’utilisateur interagit est le client OAuth ;
    • Application web : L’application Web, ou serveur de ressources, est l’emplacement où réside(nt) la ressource ou les données. Il approuve le serveur d’autorisation pour authentifier et autoriser le client OAuth en toute sécurité ;
    • Microsoft Entra ID : Microsoft Entra ID est le serveur d’authentification, également appelé fournisseur d’identité (IdP). Il gère en toute sécurité tout ce qu’il faut faire avec les informations de l’utilisateur, son accès et la relation d’approbation. Il est responsable de l’émission des jetons qui accordent et révoquent l’accès aux ressources.

    Kevin Beaumont, chercheur et professionnel de la sécurité fort de plusieurs dizaines d'années d'expérience, dont un passage chez Microsoft, a souligné sur Mastodon que le seul moyen pour un compte d'attribuer le tout-puissant rôle full_access_as_app à une application OAuth est d'avoir des privilèges d'administrateur. Quelqu'un, a-t-il dit, a fait une grosse erreur de configuration dans la production. Il y a de bonnes raisons de limiter étroitement les comptes qui peuvent attribuer un accès aussi large à une application OAuth. Il est difficile d'imaginer une raison légitime d'attribuer et de maintenir de tels droits à un compte de test, en particulier un compte qui a atteint le statut d'héritage.

    Ce qui fait de la configuration du compte de test un tel tabou de sécurité, c'est qu'elle a rompu le filet de sécurité que les restrictions sont censées fournir. L'une des pratiques de sécurité réseau les plus fondamentales est le principe du moindre privilège. Les comptes doivent toujours être configurés avec le minimum de privilèges requis pour effectuer les tâches qui leur sont assignées. Dans le cas présent, il est difficile de comprendre pourquoi le compte de test hérité a besoin de privilèges d'administrateur.

    « C'est un peu comme avoir un utilisateur Admin de domaine pour le système de production... sauf qu'il s'agit d'un domaine de test, sans sécurité, sans MFA, sans pare-feu, sans surveillance, etc. Traduction : Un utilisateur administrateur de domaine dispose de tous les privilèges administratifs sur tous les appareils connectés à un réseau, y compris le contrôleur de domaine et l'annuaire actif qui stocke les informations d'identification et crée de nouveaux comptes. En tant qu'utilisateurs les plus puissants d'un réseau, ils devraient être isolés et rarement, voire jamais, intégrés à un système de production. Permettre à ces comptes de ne pas être protégés par des mots de passe forts et d'autres mesures de sécurité standard ne ferait qu'aggraver la situation. »

    Les responsables de Microsoft ont refusé d'expliquer les raisons de la configuration du compte de test en premier lieu et pourquoi il a été autorisé à persister une fois qu'il a atteint le statut d'ancien compte.

    Principe du moindre privilège

    Le principe du moindre privilège est un concept de sécurité de l'information selon lequel un utilisateur se voit accorder les niveaux d'accès - ou autorisations - minimaux nécessaires à l'exercice de ses fonctions. Il est largement considéré comme une pratique exemplaire en matière de cybersécurité et constitue une étape fondamentale dans la protection de l'accès privilégié aux données et aux biens de grande valeur. Le principe du moindre privilège s'étend au-delà de l'accès humain. Le modèle peut être appliqué aux applications, aux systèmes ou aux dispositifs connectés qui nécessitent des privilèges ou des autorisations pour effectuer une tâche requise.

    L'application du principe de moindre privilège garantit que l'outil non humain dispose de l'accès requis - et rien de plus. Pour que l'application de la règle du moindre privilège soit efficace, il faut un moyen de gérer et de sécuriser de manière centralisée les informations d'identification privilégiées, ainsi que des contrôles flexibles permettant de concilier les exigences de cybersécurité et de conformité avec les besoins opérationnels et les besoins des utilisateurs finaux.

    Qu'est-ce que la dérive des privilèges ?

    Lorsque les entreprises choisissent de retirer tous les droits administratifs aux utilisateurs professionnels, l'équipe informatique doit souvent réattribuer des privilèges pour que les utilisateurs puissent effectuer certaines tâches. À titre d'exemple, de nombreuses applications internes et personnalisées utilisées au sein des infrastructures informatiques des entreprises exigent des privilèges pour leur bon fonctionnement, tout comme de nombreuses applications commerciales disponibles dans le commerce.

    Pour que les utilisateurs professionnels puissent exécuter ces applications autorisées et nécessaires, l'équipe informatique doit leur redonner les privilèges d'administrateur local. Une fois les privilèges réattribués, ils sont rarement révoqués et, au fil du temps, les entreprises peuvent se retrouver avec de nombreux utilisateurs détenant à nouveau des droits d'administrateur local.

    Cette « dérive des privilèges » rouvre la faille de sécurité associée à des droits d'administration excessifs et rend les organisations - qui se croient probablement bien protégées - plus vulnérables aux menaces. En mettant en œuvre des contrôles d'accès selon le principe du moindre privilège, les organisations peuvent contribuer à freiner la « dérive des privilèges » et s'assurer que les utilisateurs humains et non humains ne disposent que des niveaux d'accès minimaux requis.

    Pourquoi le principe de moindre privilège est-il important ?

    Il réduit la surface d'attaque des cyberattaques. La plupart des attaques avancées reposent aujourd'hui sur l'exploitation d'informations d'identification privilégiées. En limitant les privilèges des super-utilisateurs et des administrateurs (qui permettent aux administrateurs informatiques d'accéder librement aux systèmes cibles), l'application du principe de moindre privilège contribue à réduire la surface globale des cyberattaques.

    Elle stoppe la propagation des logiciels malveillants. En appliquant la règle du moindre privilège sur les terminaux, les attaques de logiciels malveillants (telles que les attaques par injection SQL) sont incapables d'utiliser des privilèges élevés pour accroître l'accès et se déplacer latéralement afin d'installer ou d'exécuter des logiciels malveillants ou d'endommager la machine.

    Elle améliore la productivité de l'utilisateur final. La suppression des droits d'administrateur local des utilisateurs professionnels contribue à réduire les risques, mais l'élévation des privilèges juste à temps, sur la base d'une politique, permet de maintenir la productivité des utilisateurs et de réduire au minimum les appels au service d'assistance informatique.

    Elle permet de rationaliser la conformité et les audits. De nombreuses politiques internes et exigences réglementaires imposent aux entreprises d'appliquer le principe du moindre privilège aux comptes privilégiés afin de prévenir les dommages malveillants ou involontaires aux systèmes critiques. L'application du principe de moindre privilège aide les entreprises à démontrer leur conformité grâce à une piste d'audit complète des activités privilégiées.

    Midnight Blizzard

    Midnight Blizzard (également connu sous le nom de NOBELIUM) est un acteur de la menace basé en Russie, attribué par les gouvernements américain et britannique au Service de renseignement extérieur de la Fédération de Russie, également connu sous le nom de SVR. Cet acteur de la menace est connu pour cibler principalement les gouvernements, les entités diplomatiques, les organisations non gouvernementales (ONG) et les fournisseurs de services informatiques, principalement aux États-Unis et en Europe. Son objectif est de collecter des renseignements par le biais d'un espionnage dévoué et de longue date d'intérêts étrangers, qui peut être retracé depuis le début de l'année 2018. Leurs opérations impliquent souvent la compromission de comptes valides et, dans certains cas très ciblés, des techniques avancées pour compromettre les mécanismes d'authentification au sein d'une organisation afin d'élargir l'accès et d'échapper à la détection.

    Midnight Blizzard est cohérent et persistant dans son ciblage opérationnel, et ses objectifs changent rarement. Les activités d'espionnage et de collecte de renseignements de Midnight Blizzard s'appuient sur diverses techniques d'accès initial, de déplacement latéral et de persistance pour collecter des informations à l'appui des intérêts de la Russie en matière de politique étrangère. Ils utilisent diverses méthodes d'accès initial, allant du vol d'informations d'identification aux attaques de la chaîne d'approvisionnement, en passant par l'exploitation d'environnements sur site pour se déplacer latéralement vers le nuage et l'exploitation de la chaîne de confiance des fournisseurs de services pour accéder aux clients en aval.

    Midnight Blizzard est également capable d'identifier et d'exploiter les applications OAuth pour se déplacer latéralement dans les environnements en nuage et pour des activités postérieures à la compromission, telles que la collecte de courriels. OAuth est une norme ouverte d'authentification et d'autorisation basée sur des jetons qui permet aux applications d'accéder aux données et aux ressources en fonction des autorisations définies par l'utilisateur.

    La dernière mise à jour de Microsoft a apporté deux précisions supplémentaires. La première est que l’entreprise a détecté d'autres violations par Midnight Blizzard frappant d'autres organisations et qu'elle a notifié les personnes concernées. Hewlett Packard Enterprises a déclaré en début de semaine que son réseau avait également été piraté par Midnight Blizzard. Cette brèche s'est produite en mai et n'a été découverte ou contenue qu'en décembre.

    Deuxième détail : la pulvérisation de mots de passe utilisée pour accéder au compte test était limitée à un nombre restreint de comptes avec un faible nombre de tentatives d'accès pour chacun d'entre eux. Midnight Blizzard a encore réduit son activité malveillante en menant ces attaques à partir d'une infrastructure de proxy résidentielle distribuée. Cette méthode est utilisée depuis plusieurs années, notamment lors de l'attaque de la chaîne d'approvisionnement de SolarWinds en 2020, qui a également été menée par Midnight Blizzard. En se connectant aux cibles à partir d'adresses IP jouissant d'une bonne réputation et géolocalisées dans des régions attendues, les pirates se sont fondus dans la masse des utilisateurs légitimes.

    L'incident de sécurité impliquant le groupe de pirates Midnight Blizzard au sein du réseau de Microsoft soulève des préoccupations majeures quant à la robustesse des mesures de sécurité de l'entreprise. L'utilisation d'un ancien compte de test avec des privilèges administratifs comme point d'entrée pour les pirates est préoccupante et met en lumière une faille de sécurité significative.

    La complexité inhérente à certains produits de Microsoft peut poser des défis significatifs pour les organisations, en particulier les petites entreprises, lors de la gestion des paramètres de sécurité et des privilèges. Cette complexité peut rendre la configuration et la maintenance des mesures de sécurité plus difficiles, nécessitant souvent des compétences techniques approfondies.

    Erreurs de configuration chez Microsoft : Interrogations sur la sécurité et les privilèges

    Malgré l'approche proactive adoptée par Microsoft pour remédier aux vulnérabilités, son écosystème logiciel a été historiquement pris pour cible par des attaques. La vaste gamme de produits Microsoft peut potentiellement créer des points d'accès favorables aux menaces de sécurité. Des inquiétudes ont également été exprimées au sujet de la confidentialité des données dans certains produits de l'entreprise. La collecte de données suscite des préoccupations quant à la protection de la vie privée des utilisateurs, soulignant la nécessité pour Microsoft d'établir des politiques et des pratiques transparentes en matière de gestion des données.

    Bien que Microsoft propose des outils dédiés à la gestion des privilèges, leur implémentation peut se révéler complexe. La nécessité d'une expertise significative pour configurer correctement ces outils peut représenter un défi pour de nombreuses organisations. La technique de « password spraying » utilisée pour accéder à un compte non protégé par l'authentification multifactorielle souligne l'importance d'une vigilance accrue envers les pratiques de sécurité standard. L'exploitation du protocole OAuth pour attribuer des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 met en lumière l'étendue potentielle de l'impact de l'attaque, notamment la surveillance des courriels de cadres supérieurs pendant une période de deux mois.

    L'allusion à une « erreur de configuration majeure » de la part de Microsoft soulève des interrogations cruciales sur les pratiques de sécurité et la gestion des privilèges au sein de l'entreprise. L'accord de privilèges administratifs à un compte de test hérité sans explication claire ni justification représente une lacune sérieuse. Le manque d'explication de la part des responsables de Microsoft concernant la raison de cette configuration et sa persistance souligne un défaut de transparence qui pourrait susciter des inquiétudes parmi les utilisateurs et les entreprises clientes. La période de deux mois pendant laquelle les pirates ont pu surveiller les courriels de cadres supérieurs met également en exergue des failles dans la détection des menaces et la réactivité de l'entreprise face à de telles situations.

    La propagation de l'attaque à d'autres organisations, notamment Hewlett Packard Enterprises, met en évidence la nécessité d'une collaboration et d'une communication renforcées entre les entreprises afin de mieux se prémunir contre de telles menaces. L'utilisation de proxies résidentiels par les pirates pour dissimuler leurs connexions souligne la sophistication de leurs méthodes, mettant en lumière les défis croissants auxquels font face les entreprises en matière de détection des activités malveillantes.

    L’incident met en évidence la nécessité pour les entreprises, y compris les géants de la technologie comme Microsoft, de revoir et de renforcer constamment leurs pratiques de sécurité, en mettant un accent particulier sur la gestion des privilèges, la détection proactive des menaces et la transparence vis-à-vis de leurs utilisateurs.

    Sources : Microsoft, SEC

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi :

    Quel est votre avis sur ce sujet ?

    Comment se fait-il qu'un compte sensible ne soit pas protégé par l'authentification multifactorielle, surtout compte tenu des risques actuels associés aux attaques par « password spraying » ?

    Comment les activités de Midnight Blizzard ont-elles également touché d'autres organisations, telles que Hewlett Packard Enterprises, et quelles leçons peuvent être tirées pour renforcer la cybersécurité dans l'ensemble de l'industrie ?

    Voir aussi :

    Microsoft affirme que des pirates informatiques liés à la Russie sont à l'origine de dizaines d'attaques, de phishing par Teams

    LitterDrifter : le ver USB déclenché par des pirates informatiques russes se propage dans le monde entier, il est soupçonné d'être une évolution d'un ver USB basé sur PowerShell

    Le réseau de Microsoft a été violé par des pirates de l'État russe qui ont exploité un mot de passe faible pour lancer l'attaque, l'intrusion a commencé fin novembre et a été découverte le 12 janvier
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  5. #5
    Expert éminent sénior Avatar de Artemus24
    Homme Profil pro
    Agent secret au service du président Ulysses S. Grant !
    Inscrit en
    Février 2011
    Messages
    6 370
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Agent secret au service du président Ulysses S. Grant !
    Secteur : Finance

    Informations forums :
    Inscription : Février 2011
    Messages : 6 370
    Points : 19 010
    Points
    19 010
    Par défaut
    Salut à tous.

    Bravo pour la sécurité chez Microsoft !

    @+
    Si vous êtes de mon aide, vous pouvez cliquer sur .
    Mon site : http://www.jcz.fr

  6. #6
    Membre actif
    Homme Profil pro
    Retraité
    Inscrit en
    Juin 2008
    Messages
    73
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Retraité
    Secteur : Enseignement

    Informations forums :
    Inscription : Juin 2008
    Messages : 73
    Points : 264
    Points
    264
    Par défaut Démonstration
    Cela démontre la piètre qualité des pratiques et des développements chez Microsoft.

  7. #7
    Membre à l'essai
    Homme Profil pro
    Ingénieur intégration
    Inscrit en
    Novembre 2014
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 59
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur intégration
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Novembre 2014
    Messages : 1
    Points : 10
    Points
    10
    Par défaut
    Dans n'importe quelle organisation, il est nécessaire de réaliser une revue des comptes et des privilèges. Pour limiter les risques de sécurité, il est nécessaire de n'utiliser les comptes invités et les comptes de test à la durée strictement nécessaire à l'opération. Ils doivent être désactivés ensuite. Il s'agit de précautions de sécurité élémentaires. Croire que le modèle de sécurité d'un OS suffit à régler les problèmes de sécurité magiquement est soit d'une naiveté épouvantable, soit d'une incompétence incroyable, soit d'un manque de ressources et/ou d'automatisation des tâches fondamentales de sécurité : le même genre de problèmes peut arriver à des comptes laissés en déshérence sur des OS Linux. Trop de clients réduisent les coûts au delà du raisonnable et limitent leurs personnels (nombre/compétences/attributions) au point de ne plus administrer correctement leur sécurité et de tolérer de réaliser des tests sur une plateforme de production.

  8. #8
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2019
    Messages
    1 838
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2019
    Messages : 1 838
    Points : 36 228
    Points
    36 228
    Par défaut Une campagne permanente compromet les comptes Azure des cadres supérieurs et les verrouille
    Une campagne permanente compromet les comptes Azure des cadres supérieurs et les verrouille,
    à l'aide de l’authentification multifacteur

    Selon une étude menée par une grande société de sécurité informatique, 80 % des entreprises stockent des données sensibles dans le cloud, tandis que 53 % d'entre elles ont subi une cyberattaque sur leur infrastructure cloud au cours des 12 derniers mois. Une campagne en cours cible les comptes Microsoft Azure de cadres supérieurs, visant à compromettre des centaines de comptes et voler des données sensibles et des actifs financiers dans diverses organisations. Les cybercriminels utilisent des techniques sophistiquées d'hameçonnage, combinant des appâts personnalisés avec des documents partagés pour compromettre les environnements Azure. Une fois les comptes compromis, les auteurs de la menace mettent en place une authentification multifactorielle pour sécuriser l'accès.

    Les actions post-compromission comprennent l'exfiltration de données, l'hameçonnage interne et externe, la fraude financière et la création de règles de boîte aux lettres pour masquer leurs traces. Les cybercriminels utilisent des proxys, des services d'hébergement de données et des domaines compromis pour obscurcir leur infrastructure opérationnelle. Bien que les acteurs ne soient pas identifiés, certains indices pointent vers une possible implication russe et nigériane.

    Nom : Cybercriminels.jpg
Affichages : 6838
Taille : 75,6 Ko

    « Les acteurs de la menace semblent se concentrer sur un large éventail de personnes occupant divers postes dans différentes organisations, ce qui a un impact sur des centaines d'utilisateurs dans le monde entier », indique un avis de Proofpoint. La base d'utilisateurs affectée englobe un large éventail de postes, les cibles fréquentes étant les directeurs des ventes, les responsables de comptes et les directeurs financiers. Les personnes occupant des postes de direction tels que "vice-président des opérations", "directeur financier et trésorier" et "président-directeur général" figuraient également parmi les cibles.

    Fin novembre 2023, les chercheurs de Proofpoint ont détecté une nouvelle campagne malveillante, intégrant des techniques d'hameçonnage d'informations d'identification et de prise de contrôle de comptes dans le cloud (ATO). Dans le cadre de cette campagne, qui est toujours active, les acteurs de la menace ciblent les utilisateurs à l'aide de leurres d'hameçonnage individualisés dans des documents partagés. Par exemple, certains des documents utilisés comprennent des liens intégrés permettant de "voir le document" qui, à leur tour, redirigent les utilisateurs vers une page web d'hameçonnage malveillante lorsqu'ils cliquent sur l'URL.

    En suivant les modèles de comportement et les techniques de l'attaque, nos analystes des menaces ont identifié des indicateurs de compromission spécifiques (IOC) associés à cette campagne. Il s'agit notamment de l'utilisation d'un agent utilisateur Linux spécifique utilisé par les cybercriminels au cours de la phase d'accès de la chaîne d'attaque.

    Nom : Cloud com.png
Affichages : 1288
Taille : 462,9 Ko
    Exemples d'événements de manipulation de l’authentification multifacteur, exécutés par des cybercriminels chez un utilisateur de cloud compromis.

    Conséquences suite à une violation de sécurité

    Un accès initial réussi conduit souvent à une séquence d'activités non autorisées après la compromission, y compris :

    • Manipulation de l' l’authentification multifacteur. Les cybercriminels enregistrent leurs propres méthodes d'AMF pour conserver un accès permanent. Nous avons observé des cybercriminels qui choisissaient différentes méthodes d'authentification, y compris l'enregistrement de numéros de téléphone alternatifs pour l'authentification par SMS ou par appel téléphonique. Cependant, dans la plupart des cas de manipulation del’ l’authentification multifacteur, les cybercriminels ont préféré ajouter une application d'authentification avec notification et code ;
    • Exfiltration de données. Les cybercriminels accèdent à des fichiers sensibles et les téléchargent, y compris des actifs financiers, des protocoles de sécurité internes et des informations d'identification des utilisateurs ;
    • Hameçonnage interne et externe. L'accès à la boîte aux lettres est utilisé pour effectuer des mouvements latéraux au sein des organisations concernées et pour cibler des comptes d'utilisateurs spécifiques avec des menaces d'hameçonnage personnalisées ;
    • Fraude financière. Dans le but de perpétrer des fraudes financières, des messages électroniques internes sont envoyés pour cibler les départements des ressources humaines et des finances au sein des organisations concernées ;
    • Règles de boîte aux lettres. Les attaquants créent des règles d'obscurcissement spécifiques, destinées à masquer leurs traces et à effacer toute trace d'activité malveillante dans les boîtes aux lettres des victimes.

    Nom : cloudcom2.png
Affichages : 1301
Taille : 180,8 Ko
    Exemples de règles d'obscurcissement de boîtes aux lettres créées par des cybercriminels à la suite d'une prise de contrôle réussie d'un compte.

    Infrastructure opérationnelle

    L’étude criminalistique de l'attaque a mis en évidence plusieurs proxys, services d'hébergement de données et domaines détournés, qui constituent l'infrastructure opérationnelle des attaquants. Les cybercriminels ont été observés en train d'utiliser des services proxy pour aligner l'origine géographique apparente des activités non autorisées sur celle des victimes ciblées, évitant ainsi les politiques de géo-fencing. En outre, l'utilisation de services proxy fréquemment alternés permet aux acteurs de la menace de masquer leur véritable emplacement et crée un défi supplémentaire pour les défenseurs qui cherchent à bloquer les activités malveillantes.

    Au-delà de l'utilisation de services proxy, les cybercriminels ont utilisé certains fournisseurs d'accès à Internet fixes locaux, ce qui pourrait révéler leur emplacement géographique. Parmi ces sources non proxy, on peut citer « Selena Telecom LLC », basé en Russie, et les fournisseurs nigérians « Airtel Networks Limited » et « MTN Nigeria ».

    Bien que Proofpoint n'ait pas attribué cette campagne à un acteur connu, il est possible que des cybercriminels russes et nigérians soient impliqués, établissant ainsi un parallèle avec des attaques précédentes.

    À la fin du mois de janvier, des pirates informatiques appartenant au groupe Midnight Blizzard, lié au renseignement russe, ont compromis le réseau de Microsoft en exploitant un ancien compte de test doté de privilèges administratifs. Leur méthode a impliqué l'utilisation de la technique de « password spraying » pour accéder à ce compte qui ne bénéficiait pas de l'authentification multifactorielle. Une fois infiltrés dans le système, ils ont abusé du protocole OAuth pour attribuer des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.

    L'escalade d'accès a été facilitée par une « grosse erreur de configuration » de Microsoft, permettant à un compte de test hérité d'obtenir des privilèges d'administrateur, bien que la raison de cette configuration et sa persistance n'aient pas été expliquées par les responsables de Microsoft. L'attaque s'est étendue sur deux mois, pendant lesquels les pirates ont surveillé les courriels de cadres supérieurs. D'autres organisations, dont Hewlett Packard Enterprises, ont également été affectées par les activités de Midnight Blizzard, qui ont utilisé des proxies résidentiels pour masquer leurs connexions, compliquant ainsi la détection basée sur les indicateurs de compromission.

    Dans une communication ultérieure aux clients, Microsoft a fourni plus de détails sur la manière dont les pirates ont réalisé cette escalade d'accès. Identifiés comme appartenant au groupe Midnight Blizzard, les pirates ont obtenu un accès permanent aux comptes de messagerie privilégiés en exploitant le protocole d'autorisation OAuth, largement utilisé dans l'industrie pour permettre à diverses applications d'accéder aux ressources d'un réseau. Après la compromission, Midnight Blizzard a créé une application malveillante et lui a attribué des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.

    Les responsables de Microsoft ont présenté ces événements de manière obscure, minimisant l'ampleur de l'erreur. Ils ont expliqué que des acteurs de la menace, tels que Midnight Blizzard, compromettent des comptes d'utilisateurs pour altérer les autorisations d'applications OAuth, qu'ils peuvent ensuite utiliser à des fins malveillantes pour dissimuler leurs activités. L'abus d'OAuth permet également à ces acteurs de maintenir l'accès aux applications même après avoir perdu l'accès au compte initial compromis.

    Midnight Blizzard a exploité son accès initial pour identifier et compromettre une ancienne application OAuth de test, lui conférant un accès élevé à l'environnement de l'entreprise Microsoft. Ils ont ensuite créé d'autres applications OAuth malveillantes, un nouveau compte utilisateur autorisant ces applications à accéder à l'environnement de l'entreprise. Enfin, les cybercriminels ont utilisé l'ancienne application OAuth de test pour lui attribuer le rôle Office 365 Exchange Online full_access_as_app, offrant ainsi un accès aux boîtes aux lettres.

    Comment vérifier si vous êtes une cible

    Il existe plusieurs signes révélateurs d'un ciblage. Le plus utile est un agent-utilisateur spécifique utilisé pendant la phase d'accès de l'attaque : Mozilla/5.0 (X11 ; Linux x86_64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/120.0.0.0 Safari/537.36. Les cybercriminels utilisent principalement cet agent-utilisateur pour accéder à l'application de connexion "OfficeHome" ainsi qu'à d'autres applications natives de Microsoft365, telles que :

    • Office365 Shell WCSS-Client (indicateur d'un accès par navigateur aux applications Office365) ;
    • Office 365 Exchange Online (révélateur d'un abus de boîtes aux lettres, d'une exfiltration de données et d'une prolifération de menaces par courrier électronique après la compromission) ;
    • My Signins (utilisé par les attaquants pour manipuler l’authentification multifacteur) ;
    • Mes applications ;
    • Mon profil.

    L'incident décrit par Proofpoint met en lumière une sérieuse préoccupation en matière de sécurité pour les utilisateurs de Microsoft Azure, en particulier pour les cadres supérieurs et les organisations ciblées. La campagne sophistiquée d'hameçonnage démontre la nécessité de renforcer les protocoles de sécurité et la sensibilisation des utilisateurs au sein de l'écosystème Azure.

    Toutefois, plusieurs aspects méritent d'être examinés. Tout d'abord, la diversité des rôles ciblés suggère une approche multifacette de la part des cybercriminels, soulignant la complexité des défis auxquels les services cloud comme Azure sont confrontés en termes de sécurité. La capacité des cybercriminels à contourner les mesures de géofencing en utilisant des proxys souligne également les failles potentielles dans les défenses de Microsoft Azure.

    Il est important de noter que la sécurité informatique est un défi constant pour toutes les grandes plateformes cloud. Cependant, la réaction et la résilience d'une plateforme face à de telles attaques sont cruciales. Il serait intéressant de comparer les pratiques de sécurité de Microsoft Azure avec celles de ses principaux concurrents, tels qu'Amazon Web Services (AWS) et Google Cloud Platform (GCP), pour évaluer la robustesse de leurs approches respectives.

    Les trois principaux fournisseurs de services cloud, à savoir Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) détiennent ensemble 62 % du marché de cloud computing, avec une croissance combinée de 42 % au premier trimestre 2022. Chacun offre des fonctionnalités de sécurité solides, telles que pare-feu, chiffrement en transit, gestion de la conformité, protection DDoS, et sécurité physique.

    AWS, le plus ancien et le plus établi, se distingue par sa documentation claire, une place de marché étendue pour les modules tiers, un large réseau de partenaires, et une approche de responsabilité partagée claire. Microsoft Azure, le deuxième en termes de popularité, présente une approche centralisée de la gestion des identités et des accès (IAM) avec son Active Directory. Cependant, des problèmes de cohérence et de documentation moins claire sont mentionnés, ainsi qu'une gestion de l'accès des utilisateurs nécessitant un plus grand engagement de ressources.

    Google Cloud Platform, le plus récent, offre des fonctionnalités prometteuses axées sur l'ingénierie et l'expertise mondiale. Il adopte également des configurations sécurisées par défaut et propose une approche centralisée de la gestion de la sécurité. Cependant, sa documentation est moins complète, et le marché des modules tiers est moins développé.

    Chaque fournisseur a ses forces et faiblesses, ce qui souligne l'importance pour les entreprises de choisir en fonction de leurs besoins spécifiques en matière de sécurité, de gestion et de performance. L’incident présenté par Proofpoint souligne la nécessité d'une surveillance continue et de la mise en place de mécanismes plus robustes pour détecter et prévenir de telles attaques. Il est également crucial que les utilisateurs soient pleinement informés des meilleures pratiques de sécurité et des signes de compromission.

    Source : Proofpoint

    Et vous ?

    Quel est votre avis sur le sujet ?

    En quoi la capacité des cybercriminels à contourner les mesures de géofencing en utilisant des proxys souligne-t-elle les failles potentielles dans les défenses de Microsoft Azure ?

    Comment la réaction et la résilience de Microsoft Azure face à cet incident se comparent-elles à celles de ses concurrents ?

    Voir aussi :

    Un compte de test Microsoft piraté s'est vu attribuer des privilèges d'administrateur, comment un compte de test hérité peut-il donner accès à la lecture de tous les comptes Office 365

    Microsoft introduit une nouvelle fonctionnalité de sécurité pour la vérification des entreprises en ligne : Microsoft Entra Verified ID introduit la vérification faciale en avant-première

    Microsoft monte une nouvelle équipe pour la modernisation de l'infrastructure cloud de M365 via Rust et ravive le débat sur la désignation de Rust comme meilleur gage de sécurisation des logiciels
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  9. #9
    Futur Membre du Club
    Profil pro
    Inscrit en
    Novembre 2013
    Messages
    3
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2013
    Messages : 3
    Points : 8
    Points
    8
    Par défaut
    Moi ce qui me plaît le plus, c’est ce message rassurant qui s'affiche, parfois avec insistance, sur l’écran de mon PC lorsque je connecte sur un site «*Le respect de votre vie privée est notre priorité, nous en prenons soin*» pour m’insérer à tout prix des Cookies totalement inutiles. Certains sites respectent votre choix mais beaucoup trop vous imposent le leur.

  10. #10
    Expert éminent sénior Avatar de Artemus24
    Homme Profil pro
    Agent secret au service du président Ulysses S. Grant !
    Inscrit en
    Février 2011
    Messages
    6 370
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Agent secret au service du président Ulysses S. Grant !
    Secteur : Finance

    Informations forums :
    Inscription : Février 2011
    Messages : 6 370
    Points : 19 010
    Points
    19 010
    Par défaut
    Salut Le Graouli.

    Ce qui m'énerve est de cliquer sur valider ou rejeter ces cookies dont je n'ai que faire.
    Il y a aussi ces popup qui surgissent comme un diable de sa boîte quand tu vas sur certains sites.

    @+
    Si vous êtes de mon aide, vous pouvez cliquer sur .
    Mon site : http://www.jcz.fr

  11. #11
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Juin 2023
    Messages
    512
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2023
    Messages : 512
    Points : 9 419
    Points
    9 419
    Par défaut Microsoft affirme que des pirates russes ont volé son code source après avoir espionné ses dirigeants
    Microsoft affirme que des pirates informatiques russes ont volé son code source après avoir espionné ses dirigeants
    ce qui soulève des préoccupations quant aux pratiques de sécurité de l'entreprise

    Microsoft serait de nouveau confronté aux actions de pirates informatiques affiliés à la Russie. L'entreprise a révélé en début d'année que des acteurs de la menace ont tenté de s'introduire dans ses systèmes dans le but de voler ses secrets ainsi que les secrets partagés entre Microsoft et ses clients. Elle vient d'annoncer dans un nouveau rapport que l'attaque a conduit au vol d'une partie de son code source. Le rapport initial indiquait que des pirates russes avaient espionné les comptes de courriel de certains membres de son équipe dirigeante. L'attaque serait toujours en cours et Microsoft l'attribue au même groupe que celui à l'origine de piratage SolarWinds en 2020.

    Fin janvier, Microsoft a déclaré dans un rapport que des pirates informatiques affiliés à l'État russe se sont introduits dans le système de messagerie électronique interne de Microsoft et ont accédé aux comptes des membres de l'équipe dirigeante, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques. Microsoft ajoute que l'intrusion a commencé fin novembre et a été découverte le 12 janvier. L'ampleur de l'attaque reste indéterminée, même si, dans son premier rapport, Microsoft a précisé qu'un très faible pourcentage des comptes d'entreprise de Microsoft avaient été consultés.

    Microsoft attribue l'attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l'entreprise, il s'agit d'un groupe de pirates hautement qualifiés parrainés par l'État russe et qui sont à l'origine de l'intrusion dans les systèmes de SolarWinds il y a quelques années. La violation aurait permis aux pirates d'exfiltrer des identifiants de connexion qu'ils utiliseraient désormais afin de farfouiller dans les systèmes de Microsoft. En effet, l'entreprise a publié vendredi un autre rapport qui révèle que le groupe a également volé du code source et qu'il est peut-être encore en train de fouiller dans ses systèmes informatiques internes.


    « Ces dernières semaines, nous avons constaté que Midnight Blizzard utilisait des informations initialement exfiltrées de nos systèmes de messagerie d'entreprise dans le but d'obtenir, ou tenter d'obtenir, un accès non autorisé. Cela inclut l'accès à certains référentiels de code source de Microsoft et à des systèmes internes. À ce jour, nous n'avons trouvé aucune preuve que les systèmes clients hébergés par Microsoft ont été compromis », explique Microsoft dans un billet de blogue. L'on ne sait pas exactement à quel code source Microsoft fait allusion, mais l'entreprise affirme que les pirates poursuivent leurs tentatives.

    Le groupe tenterait notamment d'utiliser "les secrets de différents types qu'il a trouvés" pour compromettre davantage Microsoft et potentiellement ses clients. « Certains de ces secrets ont été partagés entre des clients et Microsoft dans des courriels, et à mesure que nous les découvrons dans nos courriels exfiltrés, nous avons pris contact avec ces clients pour les aider à prendre des mesures d'atténuation », précise Microsoft. Il faut rappeler que l'attaque massive de SolarWinds en 2020 a compromis des milliers d'organisations, y compris des entités publiques américaines, dont les départements du Trésor et du Commerce.

    L'obtention du code source est une grande victoire pour les pirates, car elle leur permet de découvrir le fonctionnement d'un logiciel et d'en détecter les faiblesses. Ces connaissances peuvent être utilisées ensuite pour lancer des attaques de suivi de manière inattendue. Microsoft est un géant mondial de la technologie dont les produits et services, comme Windows et Exchange, sont largement utilisés, y compris par l'establishment et agence de sécurité nationale. Ainsi, cette révélation a alarmé certains analystes qui ont fait part de leurs inquiétudes croissantes quant à la sécurité des systèmes et des services de Microsoft.

    Certains analystes se sont inquiétés des risques pour la sécurité nationale américaine. « Le fait que l'un des plus grands fournisseurs de logiciels soit lui-même en train d'apprendre les choses au fur et à mesure est un peu effrayant. Vous n'avez pas l'assurance, en tant que client, qu'il ne se passe pas quelque chose de plus grave. Ces attaques témoignent également de l'agressivité des pirates », a déclaré Jerome Segura, chercheur principal chercheur en menace de la société de cybersécurité Malwarebytes. Segura a ajouté qu'il est déconcertant que l'attaque soit toujours en cours malgré les efforts déployés par Microsoft.

    « C'est le genre de chose qui nous inquiète vraiment. L'acteur de la menace voudrait utiliser les secrets (de Microsoft) pour pénétrer dans les environnements de production, puis compromettre les logiciels et installer des portes dérobées et d'autres choses de ce genre », a déclaré Segura. Dans un document déposé auprès de la Securities and Exchange Commission (SEC), Microsoft a déclaré que l'attaque n'avait pas eu d'impact matériel sur ses activités, mais a averti que cela restait une possibilité, malgré des investissements accrus en matière de sécurité et la coordination avec les autorités chargées de l'application de la loi.


    L'attaque aurait eu lieu quelques jours seulement après que Microsoft a annoncé son plan de refonte de la sécurité de ses logiciels à la suite d'attaques critiques contre sa plateforme de cloud Azure. Microsoft a été confronté à plusieurs cyberattaques très médiatisées ces dernières années, notamment le piratage de son serveur de messagerie Exchange qui a compromis environ 30 000 organisations en 2021 et la violation par des pirates affiliés à l'État chinois des courriels du gouvernement américain l'année dernière. Ce qui a poussé les experts à remettre en cause les pratiques en matière de sécurité chez Microsoft.

    « Il semble qu'il s'agisse de quelque chose de très ciblé, et si les pirates sont si profondément implantés dans Microsoft, et que Microsoft n'a pas été en mesure de les faire sortir en deux mois, alors il y a une énorme inquiétude », a déclaré du nouvel incident Adam Meyers, vice-président senior de la société de cybersécurité Crowdstrike. Selon les experts, l'objectif principal de pirates Nobelium est la collecte de renseignements. Nobelium ciblerait le plus souvent des gouvernements, des groupes de réflexion, des fournisseurs de services informatiques et des diplomates, en particulier aux États-Unis et en Europe.

    Certains experts affirment que Nobelium partage les informations collectées avec les services de renseignements étrangers de la Russie. L'ambassade de Russie à Washington n'a pas commenté les récentes déclarations de Microsoft et n'a pas non plus répondu aux précédentes déclarations de Microsoft sur l'activité de Nobelium. Par ailleurs, les méthodes utilisées par Microsoft pour identifier les auteurs des attaques ou pour attribuer les attaques au groupe Nobelium ne sont pas claires ; et l'entreprise n'a pas fourni d'amples informations à ce sujet dans son nouveau rapport.

    Microsoft a déclaré qu'il continue d'enquêter sur les dernières attaques de Nobelium et a ajouté qu'il continuera à partager des mises à jour sur l'incident. « Nos enquêtes actives sur les activités de Midnight Blizzard sont en cours, et les résultats de nos investigations continueront d'évoluer. Nous restons déterminés à partager ce que nous apprenons », a déclaré la firme de Redmond dans son billet de blogue.

    Source : Microsoft

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous des cyberattaques qui ciblent les systèmes de Microsoft ?
    Pourquoi Microsoft ne parvient-il pas à mettre fin à la violation de plusieurs mois ?
    Selon vous, les pratiques en matière de sécurité du géant de Redmond sont-elles en cause ?
    Quels impacts cette violation de données pourrait avoir sur Microsoft et l'ensemble de ces clients ?
    Craignez-vous une violation de la même ampleur que celle du piratage de SolarWinds ou de Microsoft Exchange ?

    Voir aussi

    Le réseau de Microsoft a été violé par des pirates de l'État russe qui ont exploité un mot de passe faible pour lancer l'attaque, l'intrusion a commencé fin novembre et a été découverte le 12 janvier

    Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés

    Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre

  12. #12
    Membre régulier
    Profil pro
    Inscrit en
    Février 2011
    Messages
    58
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2011
    Messages : 58
    Points : 101
    Points
    101
    Par défaut
    Toutes maladies étaient covid, tous problèmes est maintenant Russe...
    Le pire dans l'histoire, sont tous ceux qui y croient. Désespérant de faiblesse d'esprit face à tant de grossières propagandes...

Discussions similaires

  1. Réponses: 0
    Dernier message: 24/02/2020, 20h13
  2. Il se fait voler 100 000 $ de son compte Coinbase par des pirates
    Par Bill Fassinou dans le forum Sécurité
    Réponses: 0
    Dernier message: 23/05/2019, 01h26
  3. Réponses: 31
    Dernier message: 09/08/2014, 18h15
  4. Réponses: 19
    Dernier message: 25/08/2010, 14h51
  5. Réponses: 9
    Dernier message: 03/05/2010, 13h54

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo