Un pirate chinois aurait falsifié des jetons d’authentification pour accéder aux courriels du gouvernement selon Microsoft

Un cybercriminel de Chine a pu accéder aux comptes infonuagiques de messagerie Microsoft d’environ 25 organisations – y compris des agences gouvernementales, ainsi que des comptes de consommateurs liés à des personnes probablement associées à ces organisations – en falsifiant des jetons d’authentification pour accéder aux courriels des utilisateurs, prévient la société.

Elle ne précise pas comment, mais le groupe – que Microsoft surnomme Storm-0558 – a acquis une clé de signature de compte Microsoft (MSA). Puis, pendant plusieurs semaines à compter du 15 mai, il a pénétré Outlook Web Access (OWA) dans des comptes Exchange Online et Outlook.com.

Microsoft a déclaré mardi dernier dans un rapport que depuis qu’elle a été informée d’une activité suspecte en juin, elle a empêché Storm-0558 d’accéder aux courriels des clients à l’aide de faux jetons d’authentification. La société a contacté toutes les organisations ciblées ou compromises directement via leurs administrateurs et leur a fourni des informations importantes pour les aider à enquêter et à répondre. Si vous n’avez pas encore été contacté, votre organisation n’a pas été touchée.

L’avertissement de Microsoft est arrivé le même jour que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié un avis de cybersécurité indiquant que des auteurs anonymes de cyberattaques persistantes avaient accédé et exfiltré des données Exchange Online Outlook non classifiées d’une agence fédérale civile exécutive non identifiée.

Le rapport de la CISA indique qu’un auteur anonyme de cyberattaques persistantes a accédé et exfiltré des données Exchange Online Outlook non classifiées à partir d’un petit nombre de comptes à l’aide d’une clé client de compte Microsoft (MSA). Elle a été utilisée pour falsifier des jetons afin d’usurper l’identité des consommateurs et des entreprises, indique le rapport de la CISA. Microsoft a résolu le problème en bloquant d’abord les jetons émis avec la clé acquise, puis en remplaçant la clé pour empêcher que son utilisation abusive continue.

Microsoft a déclaré dans son rapport que le gang avait utilisé la clé MSA acquise pour falsifier des jetons pour accéder à OWA et à Outlook.com. Les clés MSA (consommateurs) et les clés Azure AD (entreprises) sont émises et gérées à partir de systèmes distincts et ne doivent être valides que pour leurs systèmes respectifs. Mais le gang a pu exploiter un problème de validation de jeton pour se faire passer pour des utilisateurs d’Azure AD et accéder au courrier de l’entreprise.

« Nous n’avons aucune indication que des clés Azure AD ou toute autre clé MSA ont été utilisées par ce cybercriminel », a déclaré Microsoft. « OWA et Outlook.com sont les seuls services où nous avons observé l’acteur utilisant des jetons forgés avec la clé MSA acquise. »

La CISA et le FBI encouragent fortement les organisations exploitant des infrastructures critiques à activer la journalisation d’audit, qui a détecté cet événement. Les agences fédérales sont tenues de le faire.

En outre, la CISA indique que les organisations devraient :

  • Activer la journalisation Purview Audit (Premium).  Cette journalisation nécessite une licence au niveau G5/E5. Consultez les conseils de Microsoft sur l’attribution de licences Microsoft 365 aux utilisateurs pour plus d’informations.
  • S’assurer que les journaux sont consultables par les opérateurs. Les journaux pertinents doivent être accessibles aux équipes opérationnelles dans une plate-forme (par exemple, les outils du centre des opérations de sécurité [SOC]) qui permet de rechercher cette activité et de la distinguer du comportement attendu dans l’environnement.
  • Activer la journalisation d’audit unifiée Microsoft 365 (UAL). L’UAL devrait être activée par défaut, mais les organisations sont encouragées à valider ces paramètres.
  • Comprendre la base de référence infonuagique de votre organisation.  Les organisations sont encouragées à rechercher des valeurs aberrantes et à se familiariser avec les modèles de base pour mieux comprendre le trafic anormal par rapport au trafic normal.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Un gang de rançongiciel commence à divulguer des données volées dans une université québécoise

Le gang de rançongiciel LockBit a commencé à divulguer des données qui, selon lui, auraient été volées le mois dernier dans une université québécoise. Les données proviennent de l'Université de Sherbrooke, qui compte environ 31 000 étudiants et 8 200 professeurs et employés.

Balado Hashtag Tendances, 4 janvier 2024 — Une app Copilot, des iPhones compromis, Google et les applications Android et Adobe n’acquiert pas Figma

Cette semaine : Copilot sur Android et iOS, une attaque de porte dérobée de milliers d’iPhone, Google paie l’amende et assouplit les règles sur les applications Android et Adobe abandonne son projet d’acquérir Figma.

Une commission scolaire du sud de l’Ontario reconnaît un « cyberincident »

L'une des plus grandes commissions scolaires publiques du sud de l'Ontario a reconnu publiquement une cyberattaque, plus d'un mois après sa détection.

Un groupe d’assurance dentaire avise près de 7 millions d’Américains d’un vol de données lié à MOVEit

Près de 7 millions de résidents américains ont été informés par un fournisseur d’assurance dentaire que leurs informations personnelles ont été volées lors de l'une des plus grandes attaques impliquant l'application de transfert de fichiers MOVEit.

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.