Les différends de Microsoft rapportent que des pirates chinois auraient pu accéder à une suite de programmes

Microsoft conteste un nouveau rapport qui prétend que les pirates auraient pu avoir accès à plus de parties des systèmes des victimes qu’on ne le savait auparavant dans une campagne qui ciblait des dizaines d’organisations, y compris des agences gouvernementales.

Lors des attaques, des pirates chinois apparents ont eu accès aux e-mails de la secrétaire américaine au Commerce, Gina Raimondo, Ambassadeur des États-Unis en Chine Nicholas Burns et Daniel Kritenbrinksecrétaire d’État adjoint pour l’Asie de l’Est, avant leur voyage en Chine le mois dernier.

Pour accéder aux comptes Outlook, ils ont utilisé une clé de signature client inactive pour forger des jetons d’authentification pour le service d’authentification multifacteur Azure Active Directory.

Des chercheurs de la société de sécurité Wiz ont publié un rapport vendredi en disant qu’en plus d’accéder aux comptes de messagerie Outlook, les pirates auraient pu utiliser la clé pour forger des jetons d’accès pour une variété de programmes Azure, comme SharePoint, Teams et OneDrive, ainsi que “les applications des clients qui prennent en charge la fonctionnalité” connexion avec Microsoft “et les applications multi-locataires dans certaines conditions”.

“Microsoft a déclaré qu’Outlook.com et Exchange Online étaient les seules applications connues pour avoir été affectées par la technique de falsification de jetons, mais Wiz Research a découvert que la clé de signature compromise était plus puissante qu’il n’y paraissait et n’était pas limitée à ces deux services”, ont-ils déclaré.

“L’impact total de cet incident est beaucoup plus important que nous ne le pensions initialement.”

Les chercheurs ont ajouté que l’incident aura “des implications durables sur notre confiance dans le cloud et les composants de base qui le soutiennent, surtout la couche d’identité qui est le tissu de base de tout ce que nous faisons dans le cloud”.

Le rapport examine ensuite l’importance des clés de signature des consommateurs pour l’écosystème Microsoft et l’éventail des mesures qui pourraient être prises si elles tombaient entre de mauvaises mains.

Les pirates auraient pu “théoriquement utiliser la clé privée acquise pour forger des jetons afin de s’authentifier comme n’importe quel utilisateur auprès de toute application affectée qui fait confiance” aux certificats de Microsoft.

Alors que Microsoft a depuis révoqué la clé compromise, Wiz a déclaré que les pirates avaient peut-être tiré parti de l’accès qu’ils avaient obtenu pour établir la persistance dans un réseau victime.

Comme l’ont noté les chercheurs, Microsoft et plusieurs agences fédérales enquêtent toujours sur l’incident, ce qui rend difficile de savoir exactement comment d’autres organisations peuvent se protéger contre ce type d’attaque.

Il y a plusieurs questions en suspens sur le fiasco, notamment comment et quand les pirates ont obtenu la clé, et si d’autres clés ont été compromises.

“A ce stade, il est difficile de déterminer l’étendue complète de l’incident car il y avait des millions d’applications potentiellement vulnérables, à la fois des applications Microsoft et des applications client, et la majorité d’entre elles n’ont pas les journaux suffisants pour déterminer si elles ont été compromises ou non”, a déclaré Wiz.

Interrogé sur le rapport, un porte-parole de Microsoft a déclaré à Recorded Future News que les clients devraient plutôt lire les blogs qu’il a publiés sur l’incident et se concentrer sur les indicateurs de compromission qu’ils ont fournis.

“Beaucoup des affirmations faites dans ce blog sont spéculatives et non fondées sur des preuves”, a déclaré le porte-parole.

“Nous avons également récemment étendu la disponibilité de la journalisation de sécurité, la rendant gratuite pour davantage de clients par défaut, afin d’aider les entreprises à gérer un paysage de menaces de plus en plus complexe.”

Les chercheurs de Wiz ont exprimé leur surprise face à la réponse de Microsoft, déclarant à Recorded Future News que leur blog “avait été examiné et validé” par l’équipe du Microsoft Security Response Center.

“Nous avons collaboré avec eux sur le blog et ils ont aidé à garantir l’exactitude technique”, a déclaré le porte-parole de Wiz.

Le message Wiz se termine par un remerciement à l’équipe Microsoft pour “travailler en étroite collaboration avec nous sur ce blog et nous aider à nous assurer qu’il est techniquement exact”.

Zane Bond de Keeper Security a noté que si les problèmes techniques sont justifiés, la plus grande préoccupation est de savoir à quel point les attaquants étaient bien informés et bien dotés en ressources.

“Cet acteur de la menace savait qu’il disposait d’un accès précieux et, par conséquent, l’a utilisé du mieux qu’il pouvait dans le temps dont il disposait. Le mouvement latéral vers d’autres services est l’une des tactiques d’attaque les plus courantes », a déclaré Bond.

« Le cloud est une épée à double tranchant et cet événement met en évidence certains des avantages et des inconvénients. La plupart du temps, c’est un grand avantage, car le fournisseur de cloud peut enquêter et résoudre ces types d’intrusions pour ses clients. Cependant, l’inconvénient est qu’une seule violation peut compromettre plusieurs organisations, et l’auteur de la menace peut choisir les cibles et les données les plus précieuses une fois qu’elles sont dedans.

Alors que la CISA a refusé d’attribuer le piratage à la Chine, le département d’État dit la semaine dernière qu’il n’a “aucune raison de douter” de l’évaluation de Microsoft selon laquelle l’attaque a été lancée par des pirates informatiques liés au gouvernement chinois.

L’Ambassade de Chine nié avec force toute implication dans l’incident dans une déclaration à Reuters.