Il y a quelques jours, Microsoft a révélé avoir été la victime du groupe de cyberespionnage Midnight Blizzard qui serait lié au service de renseignement extérieur de la Russie. Pendant des semaines ou mois, des attaquants ont été en mesure d’avoir accès à des comptes de messagerie de dirigeants de Microsoft.
Le groupe de Redmond a écarté l’exploitation d’une vulnérabilité. La porte d’entrée avait été un ancien compte de test, via une attaque par pulvérisation de mot de passe qui est un type d’attaque par force brute.
Microsoft précise désormais que des serveurs proxy résidentiels et des attaques par pulvérisation de mot de passe ont pris pour cible un petit nombre de comptes, dont le compte qui n’était pas un compte de production.
Pas d’authentification à plusieurs facteurs
» Midnight Blizzard a adapté ses attaques par pulvérisation de mot de passe à un nombre limité de comptes, en utilisant un faible nombre de tentatives pour échapper à une détection et éviter des blocages de comptes en fonction du volume d’échecs. «
C’est en outre la confirmation que l’ancien compte de test compromis n’était pas protégé par un mécanisme d’authentification à plusieurs facteurs. Une telle protection supplémentaire était disponible, mais pas activée.
Microsoft explique que Midnight Blizzard a tiré parti de son accès initial pour identifier et compromettre une ancienne application OAuth de test disposant d’un accès élevé à l’environnement d’entreprise. Des applications OAuth malveillantes ont ensuite été créées pour une authentification auprès de Microsoft Exchange Online et l’accès à des comptes de messagerie.
D’autres entreprises alertées
L’objectif du groupe de cyberespionnage était apparemment de découvrir ce que Microsoft savait à son sujet. L’activité malveillante a pu être repérée à l’aide de traces dans les logs de Exchange Web Services.
Microsoft souligne que d’autres entreprises ont été visées par Midnight Blizzard et ont été averties. Elles ne sont pas citées. Hewlett Packard Enterprise (HPE) par exemple ?