Microsoft a déclaré que l’ancien compte de test piraté ce mois-ci par des acteurs de la menace d’un État-nation russe n’avait pas activé l’authentification multifacteur.
La société a divulgué cette information via un article de blog publié jeudi soir intitulé « Midnight Blizzard : conseils à l’intention des intervenants en cas d’attaque d’un État-nation ». Bien que l’objectif principal de ce message soit d’aider les défenseurs, il offre également un nouvel aperçu de l’attaque révélée par Microsoft vendredi dernier.
Un acteur menaçant affilié à l’État russe connu sous le nom de Midnight Blizzard – également suivi sous les noms de Nobelium, Cozy Bear et APT29 – a piraté le réseau d’entreprise de Microsoft en pulvérisant des mots de passe et a accédé à « un très petit pourcentage des comptes de messagerie d’entreprise de Microsoft », dont un certain nombre appartenant à la haute direction. Selon la divulgation initiale, le compte compromis était un ancien compte de locataire test hors production auquel les acteurs malveillants ont accédé à partir de novembre 2023 avant d’élever leurs privilèges. Microsoft a découvert l’attaque le 12 janvier.
Midnight Blizzard, qui est associé au service de renseignement étranger du gouvernement russe, est largement connu comme l’acteur menaçant derrière la tristement célèbre attaque de la chaîne d’approvisionnement contre SolarWinds en 2020.
Dans ce dernier article de blog, Microsoft a précisé que l’ancien compte de test compromis par Midnight Blizzard “n’avait pas d’authentification multifacteur (MFA) activée”. Mais l’entreprise a déclaré qu’un locataire similaire ne serait pas aussi vulnérable aujourd’hui.
“Si la même équipe devait déployer l’ancien client aujourd’hui, la politique et les flux de travail obligatoires de Microsoft garantiraient que l’authentification multifacteur et nos protections actives soient conformes aux politiques et directives actuelles, ce qui entraînerait une meilleure protection contre ce type d’attaques”, peut-on lire dans le message.
TechTarget Editorial a demandé à Microsoft pourquoi l’ancien locataire n’avait pas activé MFA, mais la société a refusé de commenter.
En plus des détails du MFA, le message offrait des informations supplémentaires sur l’activité récente de Midnight Blizzard. Microsoft a déclaré que Midnight Blizzard ciblait également d’autres organisations – une information notable étant donné que HPE a révélé cette semaine une attaque attribuée à l’acteur menaçant.
“En utilisant les informations obtenues lors de l’enquête de Microsoft sur Midnight Blizzard, Microsoft Threat Intelligence a identifié que le même acteur ciblait d’autres organisations et, dans le cadre de nos processus de notification habituels, nous avons commencé à notifier ces organisations ciblées”, a déclaré Microsoft.
Concernant les tactiques et techniques, le géant de la technologie a déclaré que Midnight Blizzard avait adapté sa pulvérisation de mots de passe “à un nombre limité de comptes, en utilisant un faible nombre de tentatives pour échapper à la détection et éviter les blocages de comptes en fonction du volume d’échecs”. De plus, l’auteur de la menace a encore réduit sa visibilité en lançant des attaques à partir d’une « infrastructure proxy résidentielle distribuée ».
Midnight Blizzard a utilisé l’accès initial “pour identifier et compromettre une ancienne application de test OAuth qui disposait d’un accès élevé à l’environnement d’entreprise Microsoft”. Microsoft a noté que Midnight Blizzard est « habile » à identifier et à abuser des applications OAuth pour les mouvements latéraux et les activités post-compromission dans les réseaux victimes.
“L’acteur a créé des applications OAuth malveillantes supplémentaires”, peut-on lire sur le blog. “Ils ont créé un nouveau compte utilisateur pour accorder leur consentement dans l’environnement d’entreprise Microsoft aux applications OAuth malveillantes contrôlées par l’acteur. L’acteur malveillant a ensuite utilisé l’ancienne application de test OAuth pour lui accorder l’accès à Office 365 Exchange Online. full_access_as_app rôle, qui permet d’accéder aux boîtes aux lettres.
Dans la divulgation de la semaine dernière, Microsoft a déclaré que l’enquête sur la violation indiquait que les auteurs de la menace ciblaient initialement les comptes de messagerie à la recherche d’informations relatives à Midnight Blizzard lui-même.
Un modèle d’attaque familier
Microsoft a déjà publié des recherches mettant en garde contre les dangers d’abus d’Oauth et de création d’applications malveillantes. Par exemple, le 22 septembre 2022, la société a détaillé une attaque au cours de laquelle des chercheurs de Microsoft ont découvert qu’un acteur malveillant déployait des applications OAuth malveillantes sur des locataires cloud compromis et avait accès au service Exchange Online du réseau cible. Ironiquement, l’attaque reflète la violation par Midnight Blizzard de Microsoft lui-même.
“L’enquête a révélé que l’auteur de la menace a lancé des attaques de credential stuffing contre des comptes à haut risque pour lesquels l’authentification multifacteur (MFA) n’était pas activée et a exploité les comptes d’administrateur non sécurisés pour obtenir un accès initial”, peut-on lire dans le blog. “L’accès non autorisé au locataire cloud a permis à l’acteur de créer une application OAuth malveillante qui a ajouté un connecteur entrant malveillant dans le serveur de messagerie.”
Le 12 décembre 2023, Microsoft a signalé une activité similaire de la part d’acteurs malveillants dans le cadre d’attaques à motivation financière utilisant le credential stuffing « contre des comptes à haut risque pour lesquels l’authentification multifacteur (MFA) n’était pas activée et qui exploitaient les comptes d’administrateur non sécurisés pour obtenir des informations initiales. accéder.”
Prévenir les attaques d’applications Oauth
Microsoft a déclaré que les tactiques de Midnight Blizzard rendent difficile l’identification de l’activité du groupe. “En raison de l’utilisation intensive d’infrastructures proxy avec un taux de changement élevé, la recherche d’IOC traditionnels, tels que les adresses IP d’infrastructure, n’est pas suffisante pour détecter ce type d’activité de Midnight Blizzard”, a déclaré Microsoft dans son article de jeudi.
Cependant, la société a proposé des conseils pour se défendre contre de telles attaques, notamment en empêchant les abus de l’application Oauth. Tout d’abord, les clients doivent vérifier le niveau de privilège de toutes les identités d’utilisateurs et de principaux de service dans leurs locataires à l’aide du portail d’autorisation Graph Data Connect de Microsoft. Microsoft a encouragé ses clients à examiner attentivement les privilèges des identités inconnues et des applications disposant d’autorisations réservées aux applications, qui pourraient avoir un accès trop privilégié.
Microsoft a également recommandé d’auditer les identités avec ApplicationImpersonation privilèges dans Exchange Online, qui permettent à un appelant de se faire passer pour un autre utilisateur et d’effectuer les mêmes tâches que cet utilisateur. “Si elles sont mal configurées ou si leur portée n’est pas appropriée, ces identités peuvent avoir un large accès à toutes les boîtes aux lettres d’un environnement”, a prévenu l’entreprise.
Pour détecter les applications Oauth malveillantes créées par des attaquants, Microsoft a encouragé ses clients à utiliser des politiques de détection d’anomalies dans Defender for Cloud Apps. De plus, la fonctionnalité de gouvernance des applications dans Defender pour Cloud Apps peut identifier les activités administratives sensibles dans Exchange Online.
Microsoft a également averti que Midnight Blizzard avait déjà abusé des applications Oauth contre d’autres organisations utilisant le rôle d’API Microsoft Graph EWS.AccessAsUser.All. “Les défenseurs doivent examiner toutes les candidatures qui sont valables EWS.AccessAsUser.All et EWS.full_access_as_app autorisations et comprenez si elles sont toujours requises dans votre locataire », a déclaré Microsoft. « Si elles ne sont plus nécessaires, elles doivent être supprimées. »
Alexander Culafi est un rédacteur, journaliste et podcasteur sur la sécurité de l’information basé à Boston. Rob Wright est un journaliste technologique de longue date qui vit dans la région de Boston.