Cet exploit est utilisé pour contourner l’authentification multifactorielle de Microsoft

Google a bloqué la plus grande attaque DDoS jamais réalisée sur le web


Selon des chercheurs, des cybercriminels exploitent des comptes Microsoft dormants pour contourner l’authentification multifactorielle et accéder à des services et réseaux en cloud.

La technique a été détaillée par les chercheurs en cybersécurité de Mandiant, qui affirment que l’exploit est utilisé dans les campagnes de piratage d’APT29 – également connu sous le nom de Cozy Bear – une opération de piratage et d’espionnage dont on pense généralement qu’elle est liée au service russe de renseignement extérieur (SVR). D’autres groupes de cybermenaces offensives utiliseraient les mêmes tactiques.

L’authentification multifactorielle est un outil utile pour les organisations qui cherchent à prévenir les prises de contrôle de comptes et les cyberattaques contre les services en cloud et d’autres parties du réseau. Cependant, si elle est extrêmement efficace pour se défendre contre les intrusions, elle n’est pas infaillible et les cyberattaquants trouvent des moyens de la contourner.

Selon Mandiant, les cybercriminels exploitent le processus d’auto-inscription pour appliquer l’authentification multifacteur à Microsoft Azure Active Directory et à d’autres plateformes afin de prendre le contrôle de Microsoft 365 et d’autres comptes.

Configurer l’authentification multifactorielle

Lorsque les organisations déploient pour la première fois l’authentification multifactorielle auprès des utilisateurs, de nombreuses plateformes permettent aux utilisateurs d’inscrire leur dispositif d’authentification multifactorielle – généralement leur smartphone – lors de leur prochaine connexion. Ce processus est souvent suivi parce qu’il s’agit du moyen le plus efficace de fournir au plus grand nombre d’utilisateurs possible une authentification MFA pour sécuriser leurs comptes.

Mais comme le soulignent les chercheurs, s’il n’y a pas de vérification supplémentaire autour du processus d’inscription à l’authentification multifactorielle, toute personne connaissant le nom d’utilisateur et le mot de passe d’un compte peut y appliquer l’authentification multifactorielle, pour autant qu’elle soit la première personne à le faire – et les pirates utilisent cette possibilité pour accéder aux comptes.

Dans un cas détaillé par Mandiant, des attaquants attribués à APT29 ont eu accès à une liste de boîtes aux lettres non divulguées qu’ils ont obtenues par des moyens inconnus et ont réussi à deviner le mot de passe d’un compte qui avait été configuré, mais jamais utilisé.

L’attaquant, incité par Azure Active Directory à configurer l’authentification multifactorielle, a non seulement eu le contrôle du compte, mais a également pu lier l’authentification multifactorielle à un appareil qu’il possédait, exploitant l’authentification multifactorielle pour lui donner accès au compte au lieu de l’en empêcher.

À partir de là, les attaquants ont pu utiliser le compte pour accéder à l’infrastructure VPN de l’organisation victime. Les chercheurs ne divulguent pas le nom de la victime ni l’objectif de cette attaque.

L’incident montre que, même si l’authentification multifactorielle est en place, il est possible pour les cybercriminels de contourner les fonctions de protection pour accéder à des comptes dormants et les exploiter – ce qui pourrait passer inaperçu pendant un certain temps.

Vérifier la légitimité de l’utilisateur

Pour éviter cela, il est recommandé aux organisations de mettre en place des protections supplémentaires pour vérifier que l’utilisateur qui enregistre le compte est légitime.

« Les organisations peuvent restreindre l’enregistrement des dispositifs MFA aux seuls emplacements de confiance, tels que le réseau interne, ou aux dispositifs de confiance. Les organisations peuvent également choisir d’exiger l’inscription des dispositifs MFA », a déclaré Douglas Bienstock, responsable de la réponse aux incidents chez Mandiant.

« Pour éviter la situation de la poule et de l’œuf que cela crée, les employés du service d’assistance peuvent délivrer des laissez-passer d’accès temporaires aux employés lors de leur première adhésion ou s’ils perdent leur dispositif MFA. Le laissez-passer peut être utilisé pendant une durée limitée pour se connecter, contourner la MFA et enregistrer un nouveau dispositif MFA », ajoute-t-il.

Microsoft a récemment mis en place une fonctionnalité qui permet aux organisations d’appliquer des contrôles autour de l’enregistrement des dispositifs MFA, ce qui peut aider à empêcher les cybercriminels d’accéder aux comptes. ZDNET a contacté Microsoft pour obtenir des commentaires.

Les comptes dormants étant les principales cibles de cette campagne particulière, il pourrait également être utile pour les équipes de sécurité de l’information de savoir quels comptes n’ont jamais été utilisés, voire de les retirer s’ils ne servent à rien. Il est également utile de s’assurer que ces comptes ne sont pas sécurisés par des mots de passe par défaut, qui peuvent facilement être découverts par des cyberattaquants.

Source : ZDNet.com





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.