Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d’automatisation d’authentification.
« Les acteurs malveillants compromettent les comptes d’utilisateurs pour créer, modifier et accorder des privilèges élevés aux applications OAuth qu’ils peuvent utiliser à mauvais escient pour cacher des activités malveillantes », a déclaré la société dans un article de blog cette semaine. « L’utilisation abusive d’OAuth permet également aux auteurs de menaces de conserver l’accès aux applications même s’ils perdent l’accès au compte initialement compromis. »
Les acteurs malveillants lancent des attaques d’hameçonnage ou de craquage de mots de passe pour compromettre les comptes d’utilisateurs qui ne disposent pas de mécanismes d’authentification forts et ne disposent pas des autorisations nécessaires pour créer ou modifier des applications OAuth. Les attaquants utilisent à mauvais escient les applications OAuth avec des autorisations à privilèges élevés pour déployer des machines virtuelles (VM) pour l’extraction de crypto-monnaie, établir la persistance suite à une compromission de la messagerie professionnelle et lancer une activité de pourriel en utilisant les ressources et le nom de domaine de l’organisation ciblée.
Les responsables informatiques doivent prendre les mesures suivantes pour atténuer les abus d’OAuth :
- Mettre en œuvre des pratiques de sécurité qui renforcent les informations d’identification du compte, telles que l’activation de l’authentification multifacteur. Cela réduit considérablement les risques d’attaque, déclare Microsoft.
- Pour se protéger contre les attaques qui exploitent les informations d’identification volées, activer des politiques d’accès conditionnelles basées sur les risques.
- S’assurer que l’évaluation continue des accès est activée si elle est disponible dans votre environnement.
- Activer tous les paramètres de sécurité par défaut dans les plateformes d’identité.
- Auditer toutes les applications et les autorisations accordées pour garantir que les applications accèdent uniquement aux données nécessaires et adhèrent aux principes d’accès au moindre privilège.
Le rapport donne un exemple de ce que fait un acteur malveillant, que Microsoft surnomme Storm-1283. (Dans le cadre de la nouvelle taxonomie de dénomination de Microsoft, les groupes baptisés « Storm » sont nouvellement découverts ou en cours de développement.)
Storm-1283 a utilisé un compte utilisateur compromis pour créer une application OAuth et déployer des machines virtuelles pour l’extraction de cryptomonnaie. Le compte compromis a permis à l’attaquant de se connecter via un VPN, de créer une nouvelle application OAuth à locataire unique dans Microsoft Entra ID nommée de la même manière que le nom de domaine du locataire Microsoft Entra ID et d’ajouter un ensemble de secrets à l’application.
Comme le compte compromis disposait d’un rôle de propriétaire sur un abonnement Azure, l’acteur a également accordé l’autorisation « Rôle de contributeur » pour l’application à un des abonnements actifs utilisant le compte compromis.
L’attaquant a également exploité les applications d’affaires OAuth existantes auxquelles le compte utilisateur compromis avait accès dans le locataire en ajoutant un ensemble supplémentaire d’informations d’identification à ces applications, indique le rapport. L’acteur a initialement déployé un petit ensemble de machines virtuelles dans les mêmes abonnements compromis en utilisant l’une des applications existantes, et a lancé l’activité d’extraction de cryptomonnaie. L’acteur est ensuite revenu pour déployer davantage de machines virtuelles à l’aide de la nouvelle application. Les organisations ciblées ont dû payer des frais de calcul allant de 10 000 à 1,5 million de dollars à cause des attaques, en fonction de l’activité de l’acteur et de la durée de l’attaque.
Adaptation et traduction française par Renaud Larue-Langlois.
