Des pirates informatiques, appartenant au groupe Midnight Blizzard li au renseignement russe, ont compromis le rseau de Microsoft en exploitant un ancien compte de test dot de privilges administratifs. Les pirates ont utilis la technique de password spraying pour accder ce compte non protg par l’authentification multifactorielle. Une fois dans le systme, ils ont abus du protocole OAuth pour attribuer des droits d’accs toutes les adresses lectroniques du service de messagerie Office 365 de Microsoft.
Cette escalade d’accs a t rendue possible par une grosse erreur de configuration de la part de Microsoft, qui a permis un compte de test hrit d’obtenir des privilges d’administrateur. Les responsables de Microsoft n’ont pas expliqu la raison de cette configuration et pourquoi elle a persist. L’attaque a dur deux mois, pendant lesquels les pirates ont surveill les courriels de cadres suprieurs. D’autres organisations, dont Hewlett Packard Enterprises, ont galement t touches par les activits de Midnight Blizzard. Les pirates ont utilis des proxies rsidentiels pour masquer leurs connexions, rendant la dtection base sur les indicateurs de compromission difficile.
Dans un message informant les clients des rsultats de l’enqute en cours, Microsoft a fourni davantage de dtails sur la faon dont les pirates ont russi cette escalade importante. Appartenant au groupe Midnight Blizzard selon l’identification de Microsoft, les pirates ont obtenu un accs permanent aux comptes de messagerie privilgis en exploitant le protocole d’autorisation OAuth, largement utilis dans l’industrie pour permettre diverses applications d’accder aux ressources d’un rseau. Aprs la compromission, Midnight Blizzard a cr une application malveillante et lui a attribu des droits d’accs toutes les adresses lectroniques du service de messagerie Office 365 de Microsoft.
Cependant, dans une mise jour, les responsables de Microsoft ont dcrit ces vnements de manire plutt obscure, minimisant ainsi l’ampleur de cette grave erreur. Ils ont expliqu que les acteurs de la menace, comme Midnight Blizzard, compromettent des comptes d’utilisateurs pour altrer les autorisations d’applications OAuth, qu’ils peuvent ensuite utiliser des fins malveillantes pour dissimuler leurs activits. L’abus d’OAuth permet galement ces acteurs de maintenir l’accs aux applications mme aprs avoir perdu l’accs au compte initial compromis.
Midnight Blizzard a exploit son accs initial pour identifier et compromettre une ancienne application OAuth de test, lui confrant un accs lev l’environnement de l’entreprise Microsoft. Ils ont ensuite cr d’autres applications OAuth malveillantes, un nouveau compte utilisateur autorisant ces applications accder l’environnement de l’entreprise. Enfin, les cybercriminels ont utilis l’ancienne application OAuth de test pour lui attribuer le rle Office 365 Exchange Online full_access_as_app, offrant ainsi un accs aux botes aux lettres.
Autorisation OAuth 2.0 avec Microsoft Entra ID
Le protocole OAuth 2,0 est le protocole de lindustrie pour lautorisation. Il permet un utilisateur daccorder un accs limit ses ressources protges. Conu pour fonctionner spcifiquement avec le protocole HTTP (Hypertext Transfer Protocol), OAuth spare le rle du client du propritaire de la ressource. Le client demande laccs aux ressources contrles par le propritaire de la ressource et hberges par le serveur de ressources. Le serveur de ressources met des jetons daccs avec lapprobation du propritaire de la ressource. Le client utilise les jetons daccs pour accder aux ressources protges hberges par le serveur de ressources.
OAuth 2,0 est directement li OpenID Connect (OIDC). tant donn que OIDC est une couche dauthentification et dautorisation reposant sur OAuth 2,0, il nest pas compatible avec OAuth 1,0. Microsoft Entra ID prend en charge tous les flux OAuth 2.0.
Composants du systme
- Utilisateur : Demande un service partir de lapplication Web (application). Lutilisateur est gnralement le propritaire de la ressource qui dtient les donnes et qui a le pouvoir dautoriser les clients accder aux donnes ou la ressource ;
- Navigateur Web : Le navigateur Web avec lequel lutilisateur interagit est le client OAuth ;
- Application web : Lapplication Web, ou serveur de ressources, est lemplacement o rside(nt) la ressource ou les donnes. Il approuve le serveur dautorisation pour authentifier et autoriser le client OAuth en toute scurit ;
- Microsoft Entra ID : Microsoft Entra ID est le serveur dauthentification, galement appel fournisseur didentit (IdP). Il gre en toute scurit tout ce quil faut faire avec les informations de lutilisateur, son accs et la relation dapprobation. Il est responsable de lmission des jetons qui accordent et rvoquent laccs aux ressources.
Kevin Beaumont, chercheur et professionnel de la scurit fort de plusieurs dizaines d’annes d’exprience, dont un passage chez Microsoft, a soulign sur Mastodon que le seul moyen pour un compte d’attribuer le tout-puissant rle full_access_as_app une application OAuth est d’avoir des privilges d’administrateur. Quelqu’un, a-t-il dit, a fait une grosse erreur de configuration dans la production. Il y a de bonnes raisons de limiter troitement les comptes qui peuvent attribuer un accs aussi large une application OAuth. Il est difficile d’imaginer une raison lgitime d’attribuer et de maintenir de tels droits un compte de test, en particulier un compte qui a atteint le statut d’hritage.
Ce qui fait de la configuration du compte de test un tel tabou de scurit, c’est qu’elle a rompu le filet de scurit que les restrictions sont censes fournir. L’une des pratiques de scurit rseau les plus fondamentales est le principe du moindre privilge. Les comptes doivent toujours tre configurs avec le minimum de privilges requis pour effectuer les tches qui leur sont assignes. Dans le cas prsent, il est difficile de comprendre pourquoi le compte de test hrit a besoin de privilges d’administrateur.
C’est un peu comme avoir un utilisateur Admin de domaine pour le systme de production… sauf qu’il s’agit d’un domaine de test, sans scurit, sans MFA, sans pare-feu, sans surveillance, etc. Traduction : Un utilisateur administrateur de domaine dispose de tous les privilges administratifs sur tous les appareils connects un rseau, y compris le contrleur de domaine et l’annuaire actif qui stocke les informations d’identification et cre de nouveaux comptes. En tant qu’utilisateurs les plus puissants d’un rseau, ils devraient tre isols et rarement, voire jamais, intgrs un systme de production. Permettre ces comptes de ne pas tre protgs par des mots de passe forts et d’autres mesures de scurit standard ne ferait qu’aggraver la situation.
Les responsables de Microsoft ont refus d’expliquer les raisons de la configuration du compte de test en premier lieu et pourquoi il a t autoris persister une fois qu’il a atteint le statut d’ancien compte.
Principe du moindre privilge
Le principe du moindre privilge est un concept de scurit de l’information selon lequel un utilisateur se voit accorder les niveaux d’accs – ou autorisations – minimaux ncessaires l’exercice de ses fonctions. Il est largement considr comme une pratique exemplaire en matire de cyberscurit et constitue une tape fondamentale dans la protection de l’accs privilgi aux donnes et aux biens de grande valeur. Le principe du moindre privilge s’tend au-del de l’accs humain. Le modle peut tre appliqu aux applications, aux systmes ou aux dispositifs connects qui ncessitent des privilges ou des autorisations pour effectuer une tche requise.
L’application du principe de moindre privilge garantit que l’outil non humain dispose de l’accs requis – et rien de plus. Pour que l’application de la rgle du moindre privilge soit efficace, il faut un moyen de grer et de scuriser de manire centralise les informations d’identification privilgies, ainsi que des contrles flexibles permettant de concilier les exigences de cyberscurit et de conformit avec les besoins oprationnels et les besoins des utilisateurs finaux.
Qu’est-ce que la drive des privilges ?
Lorsque les entreprises choisissent de retirer tous les droits administratifs aux utilisateurs professionnels, l’quipe informatique doit souvent rattribuer des privilges pour que les utilisateurs puissent effectuer certaines tches. titre d’exemple, de nombreuses applications internes et personnalises utilises au sein des infrastructures informatiques des entreprises exigent des privilges pour leur bon fonctionnement, tout comme de nombreuses applications commerciales disponibles dans le commerce.
Pour que les utilisateurs professionnels puissent excuter ces applications autorises et ncessaires, l’quipe informatique doit leur redonner les privilges d’administrateur local. Une fois les privilges rattribus, ils sont rarement rvoqus et, au fil du temps, les entreprises peuvent se retrouver avec de nombreux utilisateurs dtenant nouveau des droits d’administrateur local.
Cette drive des privilges rouvre la faille de scurit associe des droits d’administration excessifs et rend les organisations – qui se croient probablement bien protges – plus vulnrables aux menaces. En mettant en uvre des contrles d’accs selon le principe du moindre privilge, les organisations peuvent contribuer freiner la drive des privilges et s’assurer que les utilisateurs humains et non humains ne disposent que des niveaux d’accs minimaux requis.
Pourquoi le principe de moindre privilge est-il important ?
Il rduit la surface d’attaque des cyberattaques. La plupart des attaques avances reposent aujourd’hui sur l’exploitation d’informations d’identification privilgies. En limitant les privilges des super-utilisateurs et des administrateurs (qui permettent aux administrateurs informatiques d’accder librement aux systmes cibles), l’application du principe de moindre privilge contribue rduire la surface globale des cyberattaques.
Elle stoppe la propagation des logiciels malveillants. En appliquant la rgle du moindre privilge sur les terminaux, les attaques de logiciels malveillants (telles que les attaques par injection SQL) sont incapables d’utiliser des privilges levs pour accrotre l’accs et se dplacer latralement afin d’installer ou d’excuter des logiciels malveillants ou d’endommager la machine.
Elle amliore la productivit de l’utilisateur final. La suppression des droits d’administrateur local des utilisateurs professionnels contribue rduire les risques, mais l’lvation des privilges juste temps, sur la base d’une politique, permet de maintenir la productivit des utilisateurs et de rduire au minimum les appels au service d’assistance informatique.
Elle permet de rationaliser la conformit et les audits. De nombreuses politiques internes et exigences rglementaires imposent aux entreprises d’appliquer le principe du moindre privilge aux comptes privilgis afin de prvenir les dommages malveillants ou involontaires aux systmes critiques. L’application du principe de moindre privilge aide les entreprises dmontrer leur conformit grce une piste d’audit complte des activits privilgies.
Midnight Blizzard
Midnight Blizzard (galement connu sous le nom de NOBELIUM) est un acteur de la menace bas en Russie, attribu par les gouvernements amricain et britannique au Service de renseignement extrieur de la Fdration de Russie, galement connu sous le nom de SVR. Cet acteur de la menace est connu pour cibler principalement les gouvernements, les entits diplomatiques, les organisations non gouvernementales (ONG) et les fournisseurs de services informatiques, principalement aux tats-Unis et en Europe. Son objectif est de collecter des renseignements par le biais d’un espionnage dvou et de longue date d’intrts trangers, qui peut tre retrac depuis le dbut de l’anne 2018. Leurs oprations impliquent souvent la compromission de comptes valides et, dans certains cas trs cibls, des techniques avances pour compromettre les mcanismes d’authentification au sein d’une organisation afin d’largir l’accs et d’chapper la dtection.
Midnight Blizzard est cohrent et persistant dans son ciblage oprationnel, et ses objectifs changent rarement. Les activits d’espionnage et de collecte de renseignements de Midnight Blizzard s’appuient sur diverses techniques d’accs initial, de dplacement latral et de persistance pour collecter des informations l’appui des intrts de la Russie en matire de politique trangre. Ils utilisent diverses mthodes d’accs initial, allant du vol d’informations d’identification aux attaques de la chane d’approvisionnement, en passant par l’exploitation d’environnements sur site pour se dplacer latralement vers le nuage et l’exploitation de la chane de confiance des fournisseurs de services pour accder aux clients en aval.
Midnight Blizzard est galement capable d’identifier et d’exploiter les applications OAuth pour se dplacer latralement dans les environnements en nuage et pour des activits postrieures la compromission, telles que la collecte de courriels. OAuth est une norme ouverte d’authentification et d’autorisation base sur des jetons qui permet aux applications d’accder aux donnes et aux ressources en fonction des autorisations dfinies par l’utilisateur.
La dernire mise jour de Microsoft a apport deux prcisions supplmentaires. La premire est que lentreprise a dtect d’autres violations par Midnight Blizzard frappant d’autres organisations et qu’elle a notifi les personnes concernes. Hewlett Packard Enterprises a dclar en dbut de semaine que son rseau avait galement t pirat par Midnight Blizzard. Cette brche s’est produite en mai et n’a t dcouverte ou contenue qu’en dcembre.
Deuxime dtail : la pulvrisation de mots de passe utilise pour accder au compte test tait limite un nombre restreint de comptes avec un faible nombre de tentatives d’accs pour chacun d’entre eux. Midnight Blizzard a encore rduit son activit malveillante en menant ces attaques partir d’une infrastructure de proxy rsidentielle distribue. Cette mthode est utilise depuis plusieurs annes, notamment lors de l’attaque de la chane d’approvisionnement de SolarWinds en 2020, qui a galement t mene par Midnight Blizzard. En se connectant aux cibles partir d’adresses IP jouissant d’une bonne rputation et golocalises dans des rgions attendues, les pirates se sont fondus dans la masse des utilisateurs lgitimes.
L’incident de scurit impliquant le groupe de pirates Midnight Blizzard au sein du rseau de Microsoft soulve des proccupations majeures quant la robustesse des mesures de scurit de l’entreprise. L’utilisation d’un ancien compte de test avec des privilges administratifs comme point d’entre pour les pirates est proccupante et met en lumire une faille de scurit significative.
La complexit inhrente certains produits de Microsoft peut poser des dfis significatifs pour les organisations, en particulier les petites entreprises, lors de la gestion des paramtres de scurit et des privilges. Cette complexit peut rendre la configuration et la maintenance des mesures de scurit plus difficiles, ncessitant souvent des comptences techniques approfondies.
Erreurs de configuration chez Microsoft : Interrogations sur la scurit et les privilges
Malgr l’approche proactive adopte par Microsoft pour remdier aux vulnrabilits, son cosystme logiciel a t historiquement pris pour cible par des attaques. La vaste gamme de produits Microsoft peut potentiellement crer des points d’accs favorables aux menaces de scurit. Des inquitudes ont galement t exprimes au sujet de la confidentialit des donnes dans certains produits de l’entreprise. La collecte de donnes suscite des proccupations quant la protection de la vie prive des utilisateurs, soulignant la ncessit pour Microsoft d’tablir des politiques et des pratiques transparentes en matire de gestion des donnes.
Bien que Microsoft propose des outils ddis la gestion des privilges, leur implmentation peut se rvler complexe. La ncessit d’une expertise significative pour configurer correctement ces outils peut reprsenter un dfi pour de nombreuses organisations. La technique de password spraying utilise pour accder un compte non protg par l’authentification multifactorielle souligne l’importance d’une vigilance accrue envers les pratiques de scurit standard. L’exploitation du protocole OAuth pour attribuer des droits d’accs toutes les adresses lectroniques du service de messagerie Office 365 met en lumire l’tendue potentielle de l’impact de l’attaque, notamment la surveillance des courriels de cadres suprieurs pendant une priode de deux mois.
L’allusion une erreur de configuration majeure de la part de Microsoft soulve des interrogations cruciales sur les pratiques de scurit et la gestion des privilges au sein de l’entreprise. L’accord de privilges administratifs un compte de test hrit sans explication claire ni justification reprsente une lacune srieuse. Le manque d’explication de la part des responsables de Microsoft concernant la raison de cette configuration et sa persistance souligne un dfaut de transparence qui pourrait susciter des inquitudes parmi les utilisateurs et les entreprises clientes. La priode de deux mois pendant laquelle les pirates ont pu surveiller les courriels de cadres suprieurs met galement en exergue des failles dans la dtection des menaces et la ractivit de l’entreprise face de telles situations.
La propagation de l’attaque d’autres organisations, notamment Hewlett Packard Enterprises, met en vidence la ncessit d’une collaboration et d’une communication renforces entre les entreprises afin de mieux se prmunir contre de telles menaces. L’utilisation de proxies rsidentiels par les pirates pour dissimuler leurs connexions souligne la sophistication de leurs mthodes, mettant en lumire les dfis croissants auxquels font face les entreprises en matire de dtection des activits malveillantes.
Lincident met en vidence la ncessit pour les entreprises, y compris les gants de la technologie comme Microsoft, de revoir et de renforcer constamment leurs pratiques de scurit, en mettant un accent particulier sur la gestion des privilges, la dtection proactive des menaces et la transparence vis–vis de leurs utilisateurs.
Sources : Microsoft, SEC
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Quel est votre avis sur ce sujet ?
Comment se fait-il qu’un compte sensible ne soit pas protg par l’authentification multifactorielle, surtout compte tenu des risques actuels associs aux attaques par password spraying ?
Comment les activits de Midnight Blizzard ont-elles galement touch d’autres organisations, telles que Hewlett Packard Enterprises, et quelles leons peuvent tre tires pour renforcer la cyberscurit dans l’ensemble de l’industrie ?
Voir aussi :