Posté le décembre 26, 2020 à 15:13
NOUVEL AVERTISSEMENT DE MICROSOFT : LES UTILISATEURS D’AZURE CLOUD SONT CIBLÉS PAR LES HACKERS
Les récents incidents de piratage ont provoqué un certain nombre d’enquêtes qui ont révélé une activité de piratage encore plus importante, Microsoft ayant découvert une tentative de violation du courrier électronique de CrowdStrike.
Récemment, des rapports concernant des agences américaines et même FireEye ayant été piratés ont fait la une des journaux. Les incidents de sécurité ont entraîné un certain nombre d’enquêtes sur SolarWinds, qui a été utilisé pour créer une porte dérobée. Une de ces enquêtes a révélé une autre tentative de compromettre des systèmes protégés.
Microsoft met en garde CrowdStrike contre une nouvelle tentative de piratage
Selon de nouvelles preuves apparues au cours de l’enquête sur SolarWinds, il y a eu une tentative de piratage infructueuse contre la société de cybersécurité CrowdStrike.
La tentative infructueuse de piratage de la société et d’accès à son courrier électronique a été rapportée par le Centre de renseignements sur les menaces de Microsoft. Le rapport a été publié il y a environ 11 jours, le 15 décembre, lorsque Microsoft a découvert qu’un compte Microsoft Azure appartenant à un revendeur tiers a commencé à effectuer ce que la société a appelé des « appels anormaux ».
Les appels étaient dirigés vers les propres API de Microsoft, et ils ont eu lieu sur une période de 17 heures. Ce n’est pas un événement si récent, car il s’est avéré que les appels ont eu lieu il y a plusieurs mois.
De plus, le compte Azure du revendeur non divulgué était chargé de gérer les licences Microsoft Office pour ses clients Azure. L’un de ces clients est CrowdStrike lui-même.
CrowdStrike a commenté l’incident en faisant remarquer que, bien qu’il y ait eu une tentative d’accès et de lecture de ses e-mails – elle a échoué. La raison en est que l’entreprise n’utilise pas le service de messagerie électronique Office 365 de Microsoft.
Quelques informations additionnelles sur les incidents SolarWinds
Comme mentionné, l’incident est survenu juste après l’attaque de la chaîne d’approvisionnement de SolarWinds, qui a eu lieu au début du mois. En conséquence, il y a eu un déploiement important d’une porte dérobée secrète via des mises à jour malveillantes d’un logiciel de surveillance du réseau, SolarWinds Orion.
Après la divulgation, un certain nombre de sociétés – dont Intel, Cisco, NVIDIA, VMware, de nombreuses agences gouvernementales américaines et Microsoft – ont toutes réussi à confirmer l’existence d’installations Orion contaminées dans leurs propres environnements.
Un autre détail intéressant est que cet événement est survenu seulement une semaine après que Microsoft, qui est également un utilisateur de SolarWinds, ait nié que des hackers aient réussi à infiltrer ses systèmes de production. La société a également nié avoir trouvé des preuves qu’un autre groupe de hackers utilisait le logiciel Orion pour installer des portes dérobées.
En outre, l’incident coïncide avec un récent rapport du Washington Post, qui note que des hackers russes liés au gouvernement ont réussi à pénétrer les clients cloud de Microsoft, et à voler les e-mails d’au moins une grande entreprise du secteur privé.
Jusqu’à présent, Microsoft n’a pas répondu à ces rapports.
Des efforts supplémentaires pour mettre fin à de nouveaux piratages
En ce qui concerne CrowdStrike, la société a également récemment sorti un outil de rapport de CrowdStrike (CRT) pour Azure. Cet outil est entièrement gratuit et peut être utile aux organisations qui ont besoin de revoir un grand nombre d’autorisations dans leur Azure Active Directory.
Il peut également être utilisé pour déterminer les faiblesses de la configuration, ce qui accélère le processus de recherche des vulnérabilités.
Parallèlement, la Cybersecurity Infrastructure and Security Agency (CISA) des États-Unis a créé son propre outil, qu’elle a baptisé Sparrow. Cet outil est open source et peut être utilisé pour découvrir les comptes et applications compromis dans Azure.
La CISA a commenté sa décision en déclarant que l’outil est destiné à être utilisé par les intervenants en cas d’incident. Pour l’instant, son champ d’application est assez restreint, ne détectant que les activités liées aux récentes attaques basées sur l’authentification et l’identité.
Enfin, on peut citer SolarWinds, qui a également réagi à la récente série de problèmes en mettant à jour son propre avis de sécurité. En outre, l’entreprise a invité ses clients à mettre à jour le logiciel de la plateforme Orion avec certaines des versions les plus sécurisées, notamment 2019.4 HF 6 ou 2020.2.1 HF 2. Ces deux versions sont capables de réduire les risques liés aux vulnérabilités du logiciel, ce qui signifie que les utilisateurs devraient être en sécurité s’ils passent à une autre version.