Un ingnieur Microsoft s'est fait pirater son compte et a expos des utilisateurs de haut niveau, des hackers ont vol une cl de signature dans un crash dump


Microsoft a rvl mercredi la cause dune brche dans son service cloud Azure qui a permis des pirates informatiques de compromettre des dizaines de comptes Azure et Exchange appartenant des utilisateurs de haut niveau. Selon la socit, le compte dentreprise dun de ses ingnieurs a t pirat par un acteur malveillant trs comptent qui a obtenu une cl de signature utilise pour falsifier des jetons pour le service Azure AD.

La brche avait t annonce par Microsoft en juillet, mais la socit navait pas expliqu comment les pirates informatiques, suivis sous le nom de Storm-0558, avaient russi accder son rseau interne pendant plus dun mois et semparer de la cl de signature. Cette cl, normalement expire, leur a permis de se faire passer pour des utilisateurs lgitimes dAzure, un service cloud qui hberge des applications et des donnes sensibles.

Microsoft a dclar que la cl de signature vole tait une cl de consommateur Microsoft qui ntait confie qu des employs ayant subi une vrification des antcdents et travaillant sur des postes de travail ddis protgs par une authentification plusieurs facteurs utilisant des dispositifs de jetons matriels. Pour protger cet environnement ddi, les outils de messagerie, de confrence, de recherche web et autres outils de collaboration ntaient pas autoriss, car ils constituent les vecteurs les plus courants dattaques russies par logiciels malveillants et phishing.

Cependant, ces mesures de scurit ont t contournes en avril 2021, plus de deux ans avant que Storm-0558 ne pntre dans le rseau de Microsoft. L'entreprise donne des dtails de la situation :

Citation Envoy par Microsoft
Notre enqute a rvl qu'un crash du systme de signature des consommateurs en avril 2021 a donn lieu un snapshot du processus bloqu ( crash dump ). Les dump sur incident (crash dump), qui suppriment les informations sensibles, ne doivent pas inclure la cl de signature. Dans ce cas, une condition de concurrence critique permettait la cl d'tre prsente dans crash dump (ce problme a t corrig). La prsence du matriel cl dans le crash dump na pas t dtecte par nos systmes (ce problme a t corrig).

Nous avons constat que ce crash dump, cens l'poque ne contenir aucun lment cl, avait ensuite t dplac du rseau de production isol vers notre environnement de dbogage sur le rseau d'entreprise connect Internet. Ceci est cohrent avec nos processus de dbogage standard. Nos mthodes d'analyse des informations d'identification n'ont pas dtect sa prsence (ce problme a t corrig).

Aprs avril 2021, lorsque la cl a t divulgue dans lenvironnement de lentreprise lors du crash dump, lacteur de Storm-0558 a russi compromettre le compte dentreprise dun ingnieur Microsoft. Ce compte avait accs l'environnement de dbogage contenant le crash dump qui contenait de manire incorrecte la cl. En raison des politiques de conservation des journaux, nous ne disposons pas de journaux contenant des preuves spcifiques de cette exfiltration par cet acteur, mais il sagit du mcanisme le plus probable par lequel lacteur a acquis la cl.


Pourquoi une cl client a pu accder la messagerie d'entreprise

Rpondant au deuxime mystre, Microsoft explique comment une cl de signature expire pour un compte consommateur a t utilise pour forger des jetons pour des offres d'entreprise sensibles. En 2018, Microsoft a introduit un nouveau framework fonctionnant avec les applications cloud grand public et d'entreprise. Des erreurs humaines ont empch une interface de programmation conue pour valider cryptographiquement lenvironnement pour lequel une cl devait tre utilise, de fonctionner correctement.

Pour rpondre la demande croissante des clients en matire de prise en charge d'applications fonctionnant la fois avec des applications grand public et d'entreprise, Microsoft a introduit un point de terminaison de publication de mtadonnes cls communes en septembre 2018. Dans le cadre de cette offre converge, Microsoft a mis jour la documentation pour clarifier les exigences en matire de validation de la porte cl - quelle cl utiliser pour les comptes d'entreprise et lesquels utiliser pour les comptes de particuliers.

Dans le cadre d'une bibliothque prexistante de documentation et d'API d'assistance, Microsoft a fourni une API pour aider valider les signatures de manire cryptographique, mais n'a pas mis jour ces bibliothques pour effectuer automatiquement cette validation de porte (ce problme a t corrig). Les systmes de messagerie ont t mis jour pour utiliser le point de terminaison de mtadonnes commun en 2022. Les dveloppeurs du systme de messagerie ont suppos tort que les bibliothques effectuaient une validation complte et n'ont pas ajout la validation d'metteur/porte requise. Ainsi, le systme de messagerie accepterait une demande de courrier lectronique d'entreprise utilisant un jeton de scurit sign avec la cl du consommateur (ce problme a t corrig l'aide des bibliothques mises jour).

Un reprsentant de Microsoft a dclar que le compte de l'ingnieur avait t compromis l'aide d'un malware voleur de jetons , mais n'a pas prcis comment il avait t install, si d'autres comptes d'entreprise avaient t pirats par le mme acteur malveillant, quand Microsoft avait eu connaissance de la compromission et quand l'entreprise a chass les intrus.

ces questions sajoutent les suivantes : une cl aussi sensible que celle acquise par Storm-0558 ntait-elle pas stocke dans un HSM (module matriel de scurit) ? Il s'agit d'appareils ddis qui stockent des informations importantes et sont conus pour empcher l'acquisition de cl de formulaire divulgue par Microsoft.

Le reprsentant a galement dclar que les systmes didentit de lentreprise grent les cls en utilisant une combinaison de protections HSM et logicielles en raison des exigences uniques dchelle et de rsilience de lenvironnement cloud . Cela nexplique toujours pas comment les attaquants ont russi extraire la cl dun appareil spcialement conu pour empcher le vol.


La ncessit de renforcer une posture de scurit

La brche dans Azure AD a eu des consquences importantes pour les utilisateurs de Microsoft, car elle a permis aux pirates informatiques de se connecter des comptes Azure et Exchange sans avoir besoin de mots de passe ou dautres informations didentification. Les pirates informatiques ont galement pu modifier les paramtres de scurit des comptes, tels que les rgles de transfert de courrier lectronique, les stratgies daccs conditionnel et les rgles de flux de messagerie. Ces modifications ont rendu plus difficile la dtection et llimination des pirates informatiques des systmes compromis.

Microsoft a dclar quil avait inform les clients affects par la brche et quil leur avait fourni des outils et des conseils pour restaurer la scurit de leurs comptes. La socit a galement recommand aux utilisateurs dAzure AD de passer lauthentification multifacteur (MFA) et la protection contre les menaces base sur le cloud, qui peuvent rduire le risque dattaques par falsification de jetons.

En juillet, Microsoft dclarait :

Microsoft a attnu une attaque mene par un acteur malveillant bas en Chine que Microsoft appelle Storm-0558 et qui ciblait les e-mails des clients. Storm-0558 cible principalement les agences gouvernementales d'Europe occidentale et se concentre sur l'espionnage, le vol de donnes et l'accs aux informations d'identification. Sur la base des informations signales par les clients le 16 juin 2023, Microsoft a ouvert une enqute sur une activit de messagerie anormale. Au cours des semaines suivantes, notre enqute a rvl qu' partir du 15 mai 2023, Storm-0558 a eu accs des comptes de messagerie affectant environ 25 organisations dans le cloud public, y compris des agences gouvernementales, ainsi qu' des comptes de consommateurs associs d'individus probablement associs ces organisations. Pour ce faire, ils ont utilis de faux jetons d'authentification pour accder au courrier lectronique des utilisateurs l'aide d'une cl de signature de consommateur de compte Microsoft (MSA) acquise. Microsoft a termin l'attnuation de cette attaque pour tous les clients.
La brche dans Azure AD est la dernire dune srie dincidents de scurit qui ont touch Microsoft ces derniers mois. En plus des attaques contre les serveurs Exchange, Microsoft a galement t victime du piratage massif de SolarWinds, qui a compromis son code source et ses comptes internes. Ces incidents soulignent la ncessit pour Microsoft et ses clients de renforcer leur posture de scurit face des acteurs malveillants de plus en plus sophistiqus.

Sources : Microsoft (1, 2)

Et vous ?

Que pensez-vous de la raction de Microsoft face la brche dans Azure AD ? A-t-elle t suffisamment transparente et proactive ?
Quelles sont les mesures que vous prenez pour protger vos comptes et vos donnes sur le cloud ? Utilisez-vous lauthentification multifacteur et la protection contre les menaces base sur le cloud ?
Quels sont les risques et les avantages de confier vos applications et vos donnes sensibles un service cloud comme Azure ? Prfrez-vous utiliser un service cloud public, priv ou hybride ?
Comment valuez-vous le niveau de comptence et de motivation des pirates informatiques qui ont russi pntrer dans le rseau interne de Microsoft ? Pensez-vous quils soient lis un groupe ou un pays particulier ?
Quelles sont les consquences potentielles de la brche dans Azure AD pour les utilisateurs de Microsoft et pour lindustrie du cloud en gnral ? Comment peut-on prvenir ou attnuer de telles attaques lavenir ?



Source
Catégorie article Sécurité

Ajouter un commentaire

Commentaires

Aucun commentaire n'a été posté pour l'instant.

Article précédent

Pour la rentrée, AliExpress...

Article suivant

Le chiffrement intgral des...