- Les attaquants peuvent contourner MFA sur Microsoft Office 365 en volant des codes d'autorisation ou des jetons d'accès.
- L'équipe Microsoft Threat Intelligence a suivi une campagne de logiciels malveillants affectant des organisations en Australie et en Asie du Sud-Est.
- Les pirates créent de nouvelles méthodes d'attaques par hameçonnage en enregistrant les appareils Windows auprès d'Azure Active Directory grâce à l'utilisation d'informations d'identification Office 365 volées.
Les pirates tentent une nouvelle méthode de élargissant la portée de leurs campagnes de phishing en utilisant des informations d'identification Office 365 volées pour enregistrer des appareils Windows avec Azure Active Directory.
Si les attaquants parviennent à accéder à une organisation, ils lanceront une deuxième vague de la campagne, qui consiste à envoyer davantage d'e-mails de phishing à des cibles extérieures et internes à l'organisation.
Zones cibles
L'équipe Microsoft 365 Threat Intelligence a suivi une campagne de logiciels malveillants ciblant des organisations en Australie et en Asie du Sud-Est.
Pour obtenir des informations sur leurs cibles, les attaquants ont envoyé des e-mails de phishing qui semblaient provenir de DocuSign. Lorsque les utilisateurs ont cliqué sur le Examiner le document bouton, ils ont été redirigés vers une fausse page de connexion pour Office 365, déjà pré-remplie avec leurs noms d'utilisateur
« Les informations d'identification volées de la victime ont été immédiatement utilisées pour établir une connexion avec Exchange Online PowerShell, très probablement à l'aide d'un script automatisé dans le cadre d'un kit de phishing. Tirant parti de la connexion Remote PowerShell, l'attaquant a implémenté une règle de boîte de réception via l'applet de commande New-InboxRule qui supprimé certains messages basés sur des mots-clés dans le sujet ou le corps du message électronique », l'équipe de renseignement Souligné.
Le filtre supprime automatiquement les messages contenant certains mots liés à spam, hameçonnage, courrier indésirable, piratage et sécurité des mots de passe, afin que l'utilisateur légitime du compte ne reçoive pas de rapports de non-remise ni d'e-mails de notification informatique qu'il aurait pu voir autrement.
Les attaquants ont ensuite installé Microsoft Outlook sur leur propre machine et l'ont connecté à la victime Azure Active Directory de l'organisation, éventuellement en acceptant l'invite d'enregistrement d'Outlook lors de sa première lancé.
Enfin, une fois la machine intégrée au domaine et le client de messagerie configuré comme tout autre usage courant au sein des organisations, les e-mails de phishing du compte compromis de fausses invitations Sharepoint pointant à nouveau vers une fausse page de connexion Office 365 sont devenus plus persuasif.
"Les victimes qui ont saisi leurs informations d'identification sur le site de phishing de deuxième étape étaient également liées à Exchange Online PowerShell, et a presque immédiatement créé une règle pour supprimer les e-mails dans leurs boîtes de réception. La règle avait des caractéristiques identiques à celle créée lors de la première étape de l'attaque de la campagne », a indiqué l'équipe.
Comment contourner
Les attaquants se sont appuyés sur des informations d'identification volées; cependant, plusieurs utilisateurs avaient activé l'authentification multifacteur (MFA), empêchant le vol de se produire.
Les organisations doivent activer l'authentification multifacteur pour tous les utilisateurs et l'exiger lors de l'adhésion appareils à Azure AD, ainsi que d'envisager de désactiver Exchange Online PowerShell pour les utilisateurs finaux, l'équipe informé.
Microsoft a également partagé des requêtes de chasse aux menaces pour aider les organisations à vérifier si leurs utilisateurs ont été compromis via cette campagne et a informé que les défenseurs doivent également révoquer les sessions actives et les jetons associés aux comptes compromis, supprimer les règles de boîte aux lettres créées par les attaquants, et désactiver et supprimer les appareils malveillants joints au AD Azure.
"L'amélioration continue de la visibilité et des protections sur les appareils gérés a obligé les attaquants à explorer des voies alternatives. Alors que dans ce cas, l'enregistrement de l'appareil a été utilisé pour d'autres attaques de phishing, l'utilisation de l'enregistrement de l'appareil est en augmentation car d'autres cas d'utilisation ont été observés. De plus, la disponibilité immédiate d'outils de test d'intrusion, conçus pour faciliter cette technique, ne fera qu'étendre son utilisation à d'autres acteurs à l'avenir », a conseillé l'équipe.
Des failles à surveiller
Les analystes des renseignements sur les menaces de Microsoft ont récemment signalé une campagne de phishing qui ciblait des centaines de entreprises, celle-ci étant une tentative d'inciter les employés à accorder à une application nommée "Mise à niveau" l'accès à leur Office 365 comptes.
"Les messages de phishing induisent les utilisateurs en erreur en accordant à l'application des autorisations qui pourraient permettre aux attaquants de créer des règles de boîte de réception, de lire et d'écrire des e-mails et des éléments de calendrier, et de lire des contacts. Microsoft a désactivé l'application dans Azure AD et a informé les clients concernés », ont-ils indiqué.
Les attaquants peuvent également contourner l'authentification multifacteur Office 365 en utilisant des applications malveillantes, en volant des codes d'autorisation ou en obtenant autrement des jetons d'accès plutôt que leurs informations d'identification.
Avez-vous déjà été victime de ces attaques de pirates? Partagez votre expérience avec nous dans la section des commentaires ci-dessous.
