Des chercheurs de la société de sécurité cloud Wiz ont étudié la technique décrite par Microsoft et ont conclu que toute personne disposant de la clé de signature aurait pu étendre son accès et se connecter à d’autres offres cloud Microsoft largement utilisées, notamment SharePoint, Teams et OneDrive.
“La clé MSA compromise aurait pu permettre à l’acteur de la menace de forger des jetons d’accès pour plusieurs types d’applications Azure Active Directory, y compris toutes les applications prenant en charge l’authentification de compte personnel”, y compris les applications client qui offrent la possibilité de “se connecter avec Microsoft”, a déclaré Wiz dans un article de blog détaillant ses conclusions.
Microsoft a révoqué la clé, elle ne peut donc pas être utilisée dans de nouvelles attaques. Mais Wiz a déclaré que les attaquants auraient pu laisser des portes dérobées dans les applications qui les laisseraient revenir, et il a déclaré que certains logiciels reconnaîtraient toujours une session commencée par une clé expirée.
Microsoft a minimisé la probabilité que les attaquants soient allés au-delà des comptes de messagerie des cibles, qui comprenaient la secrétaire au Commerce Gina Raimondo et l’ambassadeur américain en Chine Nicholas Burns.
“De nombreuses affirmations faites dans ce blog sont spéculatives et non fondées sur des preuves”, a déclaré Jeff Jones, un porte-parole de Microsoft.
L’Agence de la cybersécurité et de la sécurité des infrastructures, l’unité du Département de la sécurité intérieure responsable défendant les armes civiles du gouvernement, a déclaré qu’il n’avait aucune raison de croire que les assaillants avaient choisi d’aller au-delà du courrier électronique.
« Les informations disponibles indiquent que cette activité était limitée à un nombre spécifique de comptes de messagerie Microsoft Exchange Online ciblés. Nous continuons à travailler en étroite collaboration avec Microsoft pendant que leur enquête se poursuit », a déclaré Eric Goldstein, directeur adjoint exécutif pour la cybersécurité chez CISA.
Aucune information classifiée ne semble avoir été prise. Microsoft a déclaré qu’il pouvait voir chaque fois que la clé piratée avait été utilisée et que seulement une vingtaine d’organisations dans le monde avaient été touchées.
La société a été alertée pour la première fois des attaques par le Département d’État, qui a découvert l’intrusion lorsqu’il a examiné les journaux d’activité que Microsoft a commencé à fournir aux clients gouvernementaux après que ses services cloud ont été compromis lors du piratage de SolarWinds en 2020. Après la dernière brèche, Microsoft a déclaré qu’il commencerait également à fournir de nombreux types de journaux gratuitement aux clients privés.
Microsoft a attribué l’attaque à un groupe chinois, détaillé bon nombre de leurs techniques et expliqué aux clients comment rechercher les signes indiquant qu’ils avaient été piratés. Mais il enquête toujours sur la façon dont la clé de signature est sortie.
Si Microsoft se trompe sur les limites de l’attaque, “C’est un scénario cauchemardesque pour ceux qui évaluent l’impact”, a déclaré Jake Williams, ancien analyste de la National Security Agency. écrit sur Twitter. Il a dit qu’il serait difficile de dire quelles applications qui autorisent les connexions Microsoft étaient vulnérables, et toutes ne rendent pas les journaux disponibles.
Pire, il a déclaré qu’il n’y aurait désormais aucune raison pour que les attaquants tentent de s’introduire partout avec la clé révoquée, car toutes les applications n’auront pas commencé à la bloquer.
“Si j’étais un acteur menaçant, je chevaucherais cette clé maintenant révoquée comme une mule louée, en voyant où je peux en tirer N’IMPORTE QUEL kilométrage”, a écrit Williams.
Les résultats ont souligné la fragilité des systèmes cloud qui sous-tendent une proportion croissante des opérations logicielles.
2023-07-22 04:35:40
1689994770
#Des #chercheurs #soupçonnent #les #pirates #messagerie #Microsoft #Chine #ont #accès #dautres #fichiers