Une vague d’attaques par password spraying (pulvérisation de mots de passe) d’une ampleur considérable a récemment frappé les environnements Microsoft 365. La société de cybersécurité Huntress a détecté et analysé cette campagne, qui a enregistré plus de 81 millions de tentatives de connexion entre le 12 et le 26 juin.
Les attaquants ont utilisé d’anciennes combinaisons de noms d’utilisateur et de mots de passe issues de fuites de données antérieures. De la sorte, ils ont réussi à compromettre au moins 78 comptes répartis dans 64 organisations.
Comment les attaquants ont-ils pu contourner les protections ?
La méthode employée par les attaquants reposait sur l’exploitation de l’interface de ligne de commande (CLI) Azure de Microsoft.
Une fois une paire d’identifiants valides découverte, l’attaquant s’authentifiait via le flux OAuth ROPC (Resource Owner Password Credentials). Ce mécanisme, aujourd’hui déprécié, est problématique car il n’intègre pas les flux d’authentification modernes.
Cette technique a permis aux attaquants de s’introduire dans des systèmes où les administrateurs pensaient être protégés, créant une porte dérobée efficace malgré les mesures de sécurité apparentes.
Des failles de configuration
L’enquête a révélé que des entreprises compromises avaient bien mis en place des politiques d’accès conditionnel pour imposer l’authentification à plusieurs facteurs. Cependant, des erreurs de configuration ont rendu ces défenses inopérantes.
Par exemple, certaines organisations n’appliquaient l’authentification à plusieurs facteurs qu’à des applications spécifiques, comme les portails d’administration Microsoft, laissant la CLI Azure sans protection.
D’autres erreurs incluaient la restriction de l’authentification à plusieurs facteurs à certains groupes d’utilisateurs, tels les administrateurs, ou son activation uniquement depuis des lieux jugés non fiables.
Dans plusieurs cas, la politique était même configurée dans un mode signifiant qu’elle n’était jamais réellement appliquée. Huit des entreprises touchées n’avaient tout simplement aucune politique d’authentification à plusieurs facteurs.
Les bons conseils prodigués par Huntress
L’activité malveillante a été tracée jusqu’à une plage d’adresses IPv6 appartenant à LSHIY LLC, un fournisseur d’infrastructure Internet notamment enregistré à Hong Kong, Wuhan et New York. Suite au signalement de Huntress, LSHIY a suspendu le service responsable, ce qui a mis fin à la vague d’attaques.
Pour Huntress, l’authentification à plusieurs facteurs est cruciale pour tous les utilisateurs, toutes les applications cloud et tous les types d’applications clientes, sans exception.
Il est également conseillé de restreindre l’utilisation de l’application Azure CLI aux seuls utilisateurs qui sont administrateurs, et de prioriser les réponses aux incidents en fonction de la validité des identifiants plutôt que du volume des tentatives.