La semaine dernière, Microsoft a révélé qu’elle avait été victime d’une attaque par un État-nation, menée par des pirates informatiques parrainés par la Russie, qui étaient également responsables de l’attaque de SolarWinds. Ces pirates ont réussi à accéder aux comptes de messagerie de certains membres de l’équipe de direction de Microsoft, ce qui leur a permis de les espionner potentiellement pendant des semaines, voire des mois.
Bien que Microsoft n’ait pas fourni beaucoup de détails sur la façon dont les attaquants ont réussi à contourner sa sécurité dans sa divulgation initiale à la SEC vendredi soir, l’entreprise a maintenant publié une première analyse de la manière dont les pirates ont procédé. De plus, Microsoft met en garde contre le fait que le même groupe de pirates, connu sous le nom de Nobelium ou de « Midnight Blizzard », a également ciblé d’autres organisations.
Selon Microsoft, Nobelium a initialement accédé aux systèmes de l’entreprise grâce à une attaque par pulvérisation de mots de passe. Ce type d’attaque consiste à utiliser un dictionnaire de mots de passe potentiels pour tenter de deviner les mots de passe des comptes. Dans ce cas, le compte piraté appartenait à un locataire de test hors production qui n’avait pas activé l’authentification à deux facteurs. Les pirates ont adapté leur attaque pour échapper à la détection, en utilisant un faible nombre de tentatives.
Une fois qu’ils ont réussi à accéder à ce compte, les pirates ont exploité leur accès pour identifier et compromettre une ancienne application de test OAuth qui avait des privilèges élevés dans l’environnement d’entreprise de Microsoft. OAuth est une norme utilisée pour l’authentification basée sur des jetons et est couramment utilisée sur le Web pour permettre de se connecter à des applications et des services sans avoir à fournir de mot de passe. Les pirates ont utilisé cette application compromis pour créer davantage d’applications OAuth malveillantes et créer des comptes pour accéder à l’environnement d’entreprise de Microsoft, y compris le service Office 365 Exchange Online qui donne accès aux courriers électroniques.
Microsoft n’a pas précisé combien de comptes de messagerie d’entreprise avaient été ciblés et consultés, mais l’entreprise avait précédemment déclaré que cela représentait un très faible pourcentage des comptes de messagerie d’entreprise, y compris des membres de l’équipe de direction et des employés des fonctions de cybersécurité et juridiques.
L’attaque initiale a eu lieu fin novembre 2023, mais Microsoft ne l’a découverte que le 12 janvier, ce qui signifie que les attaquants ont potentiellement espionné les dirigeants de Microsoft pendant près de deux mois. Par ailleurs, Hewlett Packard Enterprise (HPE) a révélé cette semaine que le même groupe de pirates avait également eu accès à son environnement de messagerie basé sur le cloud. HPE n’a pas nommé le fournisseur, mais a indiqué que l’incident était « probablement lié » à l’exfiltration de certains documents Microsoft SharePoint en mai 2023.
Cette attaque survient à peine quelques jours après que Microsoft a annoncé son intention de repenser la sécurité de ses logiciels à la suite d’attaques majeures sur sa plateforme cloud Azure. Il s’agit du dernier incident de cybersécurité touchant Microsoft, après le piratage des serveurs de messagerie de 30 000 organisations en 2021 à cause d’une faille dans le serveur Microsoft Exchange, et le piratage des courriels du gouvernement américain par des pirates chinois via une faille dans le cloud Microsoft l’année dernière. Microsoft était également au cœur de l’attaque massive de SolarWinds il y a près de trois ans, menée par le même groupe Nobelium responsable de cette attaque embarrassante par courrier électronique.
L’aveu de Microsoft concernant l’absence d’authentification à deux facteurs sur un compte de test clé soulève des questions au sein de la communauté de la cybersécurité. Bien que cela ne soit pas directement lié à une vulnérabilité logicielle de Microsoft, cela montre que des environnements de test mal configurés peuvent permettre aux pirates de se déplacer discrètement dans le réseau d’entreprise de l’entreprise. Microsoft affirme que si cet environnement de test était déployé aujourd’hui, l’authentification à deux facteurs serait activée et les protections actives seraient renforcées.
Microsoft devra fournir plus d’explications, en particulier s’il veut que ses clients croient réellement qu’il améliore sa manière de concevoir, de construire, de tester et d’exploiter ses logiciels et services pour mieux se protéger contre les menaces de sécurité.