Microsoft 365 continue d’être une cible pour le gang de cybercriminels basé en Russie connu sous le nom de Cozy Bear, selon les chercheurs de Mandiant.
Également connu sous le nom d’APT29 par certains analystes et censé être soutenu par le service de renseignement étranger russe, le gang continue de faire preuve « d’une sécurité opérationnelle exceptionnelle et de tactiques avancées ciblant Microsoft 365 », a déclaré Mandiant dans un article de blog.
Cela inclut le contournement de l’authentification multifacteur (AMF). Les cybercriminels, y compris APT29, profitent du processus d’auto-inscription à L’AMF dans Azure Active Directory de Microsoft et d’autres plates-formes, indique le rapport.
« Lorsqu’une organisation applique l’authentification multifacteur pour la première fois, la plupart des plates-formes permettent aux utilisateurs d’inscrire leur premier appareil à l’AMF lors de la prochaine connexion. Il s’agit souvent du flux de travail choisi par les organisations pour déployer l’AMF. Dans les configurations par défaut d’Azure AD et d’autres plates-formes, il n’y a pas d’application supplémentaire sur le processus d’inscription à l’AMF », déclare Mandiant. « En d’autres termes, toute personne connaissant le nom d’utilisateur et le mot de passe peut accéder au compte depuis n’importe quel endroit et n’importe quel appareil pour s’inscrire à l’AMF, en autant qu’elle soit la première personne à le faire. »
Lors d’un incident, indique le rapport, APT29 a mené une attaque par devinette de mot de passe contre une liste de boîtes de courriel qu’ils avaient obtenue d’une manière ou d’une autre. Ils ont réussi à deviner le mot de passe d’un compte qui avait été configuré, mais jamais utilisé. Étant donné que le compte était inactif, Azure AD a invité APT29 à s’inscrire à l’AMF. Une fois inscrit, l’attaquant a pu utiliser le compte pour accéder à l’infrastructure VPN de l’organisation, qui utilisait Azure AD pour l’authentification et l’AMF.
Mandiant recommande aux organisations de s’assurer que tous les comptes actifs ont au moins un appareil inscrit à l’AMF et de travailler avec leur fournisseur de plateforme pour ajouter des vérifications supplémentaires au processus d’inscription AMF.
Microsoft Azure AD a récemment déployé une fonctionnalité permettant aux organisations d’appliquer des contrôles autour d’actions spécifiques telles que l’inscription d’appareils à l’AMF, indique le rapport. À l’ aide de l’accès conditionnel, les administrateurs informatiques peuvent limiter l’enregistrement des appareils à l’AMF aux seuls emplacements approuvés, tels que le réseau interne, ou aux appareils approuvés.
Adaptation et traduction française par Renaud Larue-Langlois.
