Midnight Blizzard est le nom donné par Microsoft à un groupe de pirates informatiques qui agirait avec le soutien de la Russie. Des cyberattaques menées sous l’égide de Midnight Blizzard (ou Nobelium) ont été attribuées par les États-Unis au service de renseignement extérieur russe.
Le 12 janvier, Microsoft a détecté une attaque de Midnight Blizzard qui a pris pour cible ses systèmes d’entreprise. Elle n’est pas la conséquence de l’exploitation d’une vulnérabilité, mais résulte d’une attaque par pulvérisation de mot de passe remontant à novembre 2023.
Avec des noms d’utilisateur potentiels, ce type d’attaque par force brute consiste à essayer un mot de passe sur plusieurs comptes, puis d’enchaîner sur un autre et ainsi de suite. En l’occurrence, c’est un ancien compte de test (pas de production) qui a été visé.
Une négligence de Microsoft ?
Manifestement, le compte de test n’était pas protégé par un mécanisme d’authentification à plusieurs facteurs… comme peut le recommander Microsoft. Une fois l’accès à ce compte obtenu, le groupe de Redmond indique que les attaquants ont eu accès à un très petit pourcentage de comptes de messagerie.
Parmi les comptes de messagerie compromis figurent ceux de dirigeants et de membres de l’équipe de cybersécurité de Microsoft. Des e-mails et des pièces jointes ont été exfiltrés. A priori, un objectif de Midnight Blizzard était de glaner des informations à son propre sujet et à la connaissance de Microsoft.
Les quelques explications fournies par Microsoft ne permettent pas de comprendre comment le compte de test a permis d’obtenir les autorisations nécessaires, afin de compromettre des comptes de messagerie dans son système d’entreprise.
Microsoft prend acte
» L’attaque n’était pas le résultat d’une vulnérabilité dans les produits ou services Microsoft « , insiste l’entreprise américaine. » À ce jour, rien ne prouve qu’il y a eu un accès aux environnements des clients, aux systèmes de production, à du code source ou à des systèmes d’IA. Nous informerons nos clients si des mesures doivent être prises. «
» Nous agirons immédiatement pour appliquer nos normes de sécurité actuelles aux anciens systèmes et aux processus commerciaux internes appartenant à Microsoft, même si ces changements peuvent perturber les processus commerciaux existants « , ajoute Microsoft.
Le groupe de Redmond a déjà eu maille à partir avec Midnight Blizzard, suite aux attaques sur des clients de SolarWinds en 2020. L’année dernière, Midnight Blizzard a également mené des attaques par le biais de Microsoft Teams.