Un cybercriminel de Chine a pu accéder aux comptes infonuagiques de messagerie Microsoft d’environ 25 organisations – y compris des agences gouvernementales, ainsi que des comptes de consommateurs liés à des personnes probablement associées à ces organisations – en falsifiant des jetons d’authentification pour accéder aux courriels des utilisateurs, prévient la société.
Elle ne précise pas comment, mais le groupe – que Microsoft surnomme Storm-0558 – a acquis une clé de signature de compte Microsoft (MSA). Puis, pendant plusieurs semaines à compter du 15 mai, il a pénétré Outlook Web Access (OWA) dans des comptes Exchange Online et Outlook.com.
Microsoft a déclaré mardi dernier dans un rapport que depuis qu’elle a été informée d’une activité suspecte en juin, elle a empêché Storm-0558 d’accéder aux courriels des clients à l’aide de faux jetons d’authentification. La société a contacté toutes les organisations ciblées ou compromises directement via leurs administrateurs et leur a fourni des informations importantes pour les aider à enquêter et à répondre. Si vous n’avez pas encore été contacté, votre organisation n’a pas été touchée.
L’avertissement de Microsoft est arrivé le même jour que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié un avis de cybersécurité indiquant que des auteurs anonymes de cyberattaques persistantes avaient accédé et exfiltré des données Exchange Online Outlook non classifiées d’une agence fédérale civile exécutive non identifiée.
Le rapport de la CISA indique qu’un auteur anonyme de cyberattaques persistantes a accédé et exfiltré des données Exchange Online Outlook non classifiées à partir d’un petit nombre de comptes à l’aide d’une clé client de compte Microsoft (MSA). Elle a été utilisée pour falsifier des jetons afin d’usurper l’identité des consommateurs et des entreprises, indique le rapport de la CISA. Microsoft a résolu le problème en bloquant d’abord les jetons émis avec la clé acquise, puis en remplaçant la clé pour empêcher que son utilisation abusive continue.
Microsoft a déclaré dans son rapport que le gang avait utilisé la clé MSA acquise pour falsifier des jetons pour accéder à OWA et à Outlook.com. Les clés MSA (consommateurs) et les clés Azure AD (entreprises) sont émises et gérées à partir de systèmes distincts et ne doivent être valides que pour leurs systèmes respectifs. Mais le gang a pu exploiter un problème de validation de jeton pour se faire passer pour des utilisateurs d’Azure AD et accéder au courrier de l’entreprise.
« Nous n’avons aucune indication que des clés Azure AD ou toute autre clé MSA ont été utilisées par ce cybercriminel », a déclaré Microsoft. « OWA et Outlook.com sont les seuls services où nous avons observé l’acteur utilisant des jetons forgés avec la clé MSA acquise. »
La CISA et le FBI encouragent fortement les organisations exploitant des infrastructures critiques à activer la journalisation d’audit, qui a détecté cet événement. Les agences fédérales sont tenues de le faire.
En outre, la CISA indique que les organisations devraient :
- Activer la journalisation Purview Audit (Premium). Cette journalisation nécessite une licence au niveau G5/E5. Consultez les conseils de Microsoft sur l’attribution de licences Microsoft 365 aux utilisateurs pour plus d’informations.
- S’assurer que les journaux sont consultables par les opérateurs. Les journaux pertinents doivent être accessibles aux équipes opérationnelles dans une plate-forme (par exemple, les outils du centre des opérations de sécurité [SOC]) qui permet de rechercher cette activité et de la distinguer du comportement attendu dans l’environnement.
- Activer la journalisation d’audit unifiée Microsoft 365 (UAL). L’UAL devrait être activée par défaut, mais les organisations sont encouragées à valider ces paramètres.
- Comprendre la base de référence infonuagique de votre organisation. Les organisations sont encouragées à rechercher des valeurs aberrantes et à se familiariser avec les modèles de base pour mieux comprendre le trafic anormal par rapport au trafic normal.
Adaptation et traduction française par Renaud Larue-Langlois.
