Posté le juillet 17, 2023 à 6:11
UN BUG DE MICROSOFT PERMET À DES HACKERS CHINOIS DE CIBLER DES PERSONNES ET DES ORGANISATIONS IMPORTANTES
Vendredi, Microsoft a admis un exploit sur les jetons Azure Active Directory (Azure AD). Le géant de la technologie a déclaré qu’une erreur de validation avait permis à un acteur de la menace connu sous le nom de Storm-0558 de forger des jetons Azure AD par le biais d’une clé de signature de consommateur de compte Microsoft (MSA) afin de mener une campagne de piratage à l’encontre de deux douzaines d’organisations.
Le bug de Microsoft a compromis les services Azure AD
Microsoft a publié une déclaration après avoir analysé la campagne de piratage, indiquant que le groupe de hackers à l’origine de la campagne avait acquis une clé de signature de consommateur MSA inactive qui a ensuite été utilisée pour forger des jetons d’authentification pour l’entreprise Azure AD.
« Storm-0558 a acquis une clé de signature MSA consumer inactive et l’a utilisée pour forger des jetons d’authentification pour Azure AD enterprise et MSA consumer afin d’accéder à OWA et Outlook.com », a déclaré Microsoft.
La société a ajouté qu’elle enquêtait toujours sur la méthode utilisée par les hackers pour acquérir la clé. Elle a ajouté qu’un problème de validation avait permis à la clé d’être utilisée pour signer les jetons Azure AD, mais que le problème avait été résolu depuis.
Il reste à déterminer si le problème de validation des jetons a été exploité comme un bug zero day ou si Microsoft était au courant du problème avant qu’il ne soit exploité dans la nature. Les attaques en question semblent également avoir touché environ 25 organisations, telles que des entités gouvernementales et des comptes de consommateurs, afin d’accéder aux courriels et d’exfiltrer les données des boîtes de messagerie.
Le bug de Microsoft exploité pour cibler le département d’État Américain
L’entreprise a été informée de cette activité malveillante après que plusieurs personnalités du département d’État Américain ont été prises pour cible. Le département d’État a déclaré qu’il avait détecté une activité suspecte dans les e-mails liée à l’accès aux données d’Exchange Online.
Le groupe de menace repéré par Microsoft sous le nom de Storm-0558 serait un hacker parrainé par la Chine. Les cyberactivités de ce groupe relèvent de l’espionnage, mais la Chine a réfuté les allégations selon lesquelles elle serait à l’origine de ces attaques.
Les principales cibles de ces campagnes de piratage sont des entités diplomatiques, économiques et législatives en Europe et aux États-Unis. Les cibles comprennent également des individus liés à Taïwan et à l’Ouïghour, qui mènent des campagnes de piratage avec des intérêts géopolitiques. Les autres cibles sont des groupes de réflexion, des entreprises de médias et des opérateurs de télécommunications.
Ce groupe de hackers serait actif depuis au moins août 2021 et a mené des campagnes telles que le vol d’identifiants d’utilisateurs, des attaques de phishing et des attaques par jeton OAuth ciblant des comptes Microsoft. Ces attaques visent à permettre au groupe d’acteurs de la menace d’atteindre ses objectifs d’espionnage.
Microsoft a noté que ce groupe de hackers semble opérer à un haut niveau de sophistication. Le géant technologique a noté que le groupe disposait du savoir-faire technique, de ressources importantes et d’une connaissance approfondie des différentes techniques et applications d’authentification.
Les hackers ont obtenu un accès initial pour compromettre leurs cibles en utilisant des campagnes de phishing et en exploitant des failles de sécurité. Ils ont ensuite déployé le shell web China Chopper pour obtenir une porte dérobée et utiliser l’outil Cigril pour voler les informations d’identification des utilisateurs.
Le groupe de hackers Storm-0558 a également utilisé les scripts PowerShell et Python pour accéder aux données de messagerie comme les informations sur les dossiers, les pièces jointes et les conversations via les appels de l’API Outlook Web Access (OWA).
Microsoft a depuis déclaré que la découverte de cette activité de piratage le 16 juin 2023 a permis à l’entreprise de mener des investigations. Les enquêtes menées jusqu’à présent ont permis d’identifier la cause première des piratages, d’assurer un suivi durable de la campagne et d’interrompre les activités malveillantes.
L’entreprise a en outre indiqué qu’elle avait contacté tous les clients concernés et qu’elle travaillait avec plusieurs agences gouvernementales. En outre, elle a atténué le problème pour le compte des clients à partir du 26 juin 2023.
L’ampleur de cette campagne de piratage reste à déterminer. Cependant, ce n’est pas la première fois que des hackers Chinois ont été liés à des campagnes similaires dans le passé. Ces hackers sont connus pour mener des campagnes de renseignement sophistiquées tout en évitant d’être détectés.
Ce rapport coïncide par ailleurs avec la publication d’un rapport détaillé sur les capacités de la Chine en matière de cybersécurité par la commission parlementaire Britannique chargée du renseignement et de la sécurité. La commission a déclaré que la Chine disposait d’un potentiel important pour mener des campagnes d’espionnage et qu’elle pouvait également accéder à divers systèmes dans les secteurs public et privé.
Cette campagne intervient aussi à un moment où Microsoft a fait l’objet de nombreuses critiques sur la manière dont elle a géré la campagne de piratage. L’entreprise facture généralement des frais supplémentaires à ses clients pour leur permettre d’accéder à des journaux d’audit détaillés. Certains des clients concernés n’avaient pas payé pour cet accès.
