Gaffe majeure : un compte de test Microsoft piraté s'est vu attribuer des privilèges d'administrateur


Les pirates informatiques qui ont récemment pénétré le réseau de Microsoft et surveillé les courriers électroniques des hauts dirigeants pendant deux mois l'ont fait en accédant à un compte test vieillissant doté de privilèges administratifs, une gaffe majeure de la part de l'entreprise, a déclaré un chercheur.

Les nouveaux détails ont été fournis dans un langage vague inclus dans un article publié par Microsoft jeudi. Il a développé une divulgation publiée par Microsoft vendredi dernier. Les pirates informatiques de l'État russe, a déclaré Microsoft, ont utilisé une technique connue sous le nom de pulvérisation de mot de passe pour exploiter un identifiant faible pour se connecter à un « ancien compte de locataire de test hors production » qui n'était pas protégé par une authentification multifactorielle. À partir de là, ils ont en quelque sorte acquis la possibilité d’accéder aux comptes de messagerie appartenant à des cadres supérieurs et à des employés travaillant dans des équipes de sécurité et juridiques.

Une « assez grosse erreur de configuration »

Dans le message de jeudi informant les clients des résultats de son enquête en cours, Microsoft a fourni plus de détails sur la manière dont les pirates ont réussi cette escalade monumentale d'accès. Les pirates, qui font partie d'un groupe que Microsoft suit sous le nom de Midnight Blizzard, ont obtenu un accès persistant aux comptes de messagerie privilégiés en abusant du protocole d'autorisation OAuth, utilisé dans toute l'industrie pour permettre à un ensemble d'applications d'accéder aux ressources d'un réseau. Après avoir compromis le client de test, Midnight Blizzard l'a utilisé pour créer une application malveillante et lui attribuer des droits d'accès à chaque adresse e-mail du service de messagerie Office 365 de Microsoft.

Dans la mise à jour de jeudi, les responsables de Microsoft l'ont dit, bien que dans un langage qui masquait largement l'ampleur de l'erreur majeure. Ils ont écrit:

Les acteurs malveillants comme Midnight Blizzard compromettent les comptes d'utilisateurs pour créer, modifier et accorder des autorisations élevées aux applications OAuth qu'ils peuvent utiliser à mauvais escient pour cacher des activités malveillantes. L’utilisation abusive d’OAuth permet également aux acteurs malveillants de conserver l’accès aux applications, même s’ils perdent l’accès au compte initialement compromis. Midnight Blizzard a exploité son accès initial pour identifier et compromettre une ancienne application de test OAuth qui disposait d'un accès élevé à l'environnement d'entreprise Microsoft. L'acteur a créé des applications OAuth malveillantes supplémentaires. Ils ont créé un nouveau compte utilisateur pour accorder leur consentement dans l'environnement d'entreprise Microsoft aux applications OAuth malveillantes contrôlées par l'acteur. L'acteur malveillant a ensuite utilisé l'ancienne application de test OAuth pour lui accorder le rôle Office 365 Exchange Online full_access_as_app, qui permet d'accéder aux boîtes aux lettres. [Emphasis added.]

Kevin Beaumont, chercheur et professionnel de la sécurité avec des décennies d'expérience, y compris un passage chez Microsoft, a souligné sur Mastodon que la seule façon pour un compte d'attribuer le tout-puissant rôle full_access_as_app à une application OAuth est que le compte ait un administrateur. privilèges. « Quelqu'un », a-t-il déclaré, « a fait une assez grosse erreur de configuration en production. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*