Un récent piratage de Microsoft a permis aux attaquants de compromettre les comptes de messagerie de nombreuses agences fédérales américaines. La firme de Redmond déclare que l’enquête est toujours en cours pour découvrir comment les hackers chinois ont pu voler une clé de signature Microsoft qui leur a permis d’accéder aux comptes des victimes.
Microsoft en mauvaise posture après l’attaque des hackers chinois
Microsoft a admis qu’une « erreur de validation dans le code Microsoft » a aidé les hackers chinois à violer ses systèmes et voler une clé de signature client (MSA). Cette clé a permis aux attaquants de falsifier des jetons d’accès Azure AD et de compromettre les comptes de nombreuses agences gouvernementales américaines.
« La méthode par laquelle l’acteur a acquis la clé fait l’objet d’une enquête en cours », explique Microsoft dans un billet de blog. Microsoft qualifie cette attaque de hautement sophistiquée. L’attaque s’appuyait sur une longue liste de caractéristiques et de fonctionnalités non documentées.
https://twitter.com/wiz_io/status/1682405650599673864?s=20
« L’attaquant avait un degré élevé de savoir-faire technique et de sécurité opérationnelle. Il était très conscient de l’environnement de la cible, des politiques de journalisation, des exigences d’authentification, des politiques et des procédures », explique Microsoft.
L’enquête est en cours, mais Microsoft avoue que l’acquisition par le groupe d’une clé de signature client MSA reste jusqu’ici un mystère. En tout cas, les fédéraux ont profité de cet incident grave pour faire publiquement pression sur les fabricants de logiciels pour qu’ils créent des produits sécurisés dès la conception.
Microsoft renforce le stockage des clés après l’incident
Microsoft déclare avoir renforcé le stockage des clés après cette attaque des hackers chinois. « Cela comprend une isolation accrue des systèmes, une surveillance affinée de l’activité du système et le passage au magasin de clés renforcé utilisé pour nos systèmes d’entreprise… », explique la société.
« Nous avons révoqué toutes les clés précédemment actives et émis de nouvelles clés à l’aide de ces systèmes mis à jour. Notre enquête active indique que ces améliorations de renforcement et d’isolation perturbent les mécanismes que nous pensons que l’acteur aurait pu utiliser pour acquérir des clés de signature MSA », précise Microsoft.
Depuis l’identification de cette campagne d’attaque au mois de juin, la firme de Redmond aurait également renforcé de façon globale la sécurité. La société a notamment identifié la cause profonde de l’attaque, établi un suivi durable de la campagne, perturbé les activités malveillantes et renforcé l’environnement.
Microsoft explique également avoir notifié chaque client impacté et coordonner des actions de sécurité avec plusieurs entités gouvernementales. « Nous continuons d’enquêter et de surveiller la situation et prendrons des mesures supplémentaires pour protéger les clients », ajoute-t-elle.
Une attaque perpétrée par des hackers affiliés à la Chine
Microsoft a déclaré que l’attaque avait été perpétrée par un groupe lié à la Chine nommé Storm-0558. Sous couvert d’anonymat, des agents gouvernementaux ont déclaré à CNN que l’attaque était probablement une tentative du gouvernement chinois de recueillir des renseignements avant la visite du secrétaire d’État Antony Blinken à Pékin le mois dernier.
La CISA et le FBI ont lancé une alerte conjointe aux organisations d’infrastructures critiques et à toute organisation disposant d’un environnement cloud. Dans ce communiqué, ils leur conseillent d’améliorer leur cyberposture et de se positionner pour détecter des activités malveillantes similaires grâce à une journalisation et une surveillance robustes.
L’alerte conjointe recommande également aux organisations utilisant Microsoft 365 d’activer la journalisation d’audit. La journalisation d’audit unifiée permet de rechercher dans les journaux les activités effectuées dans différents services Microsoft 365.
La CISA et les fédéraux rappellent que l’incident a été signalé après qu’une agence fédérale piratée ait observé des événements inattendus dans les journaux d’audit de Microsoft 365 en juin 2023.
- Partager l'article :