Microsoft piraté grâce à la pulvérisation de mots de passe
Des pirates informatiques russes ont exploité un mot de passe faible pour compromettre le réseau d’entreprise de Microsoft et ont accédé aux e-mails et aux documents appartenant à des cadres supérieurs et à des employés travaillant dans des équipes de sécurité et juridiques, a déclaré Microsoft vendredi soir.
L’attaque, que Microsoft attribue à un groupe de piratage soutenu par le Kremlin et qu’il suit sous le nom de Midnight Blizzard, est au moins la deuxième fois en autant d’années que le non-respect des règles de sécurité de base entraîne une violation susceptible de nuire aux clients. Un paragraphe de la divulgation de vendredi , déposée auprès de la Securities and Exchange Commission, était ahurissant :
À partir de fin novembre 2023, l’auteur de la menace a utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de locataire test hors production et prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d’entreprise Microsoft, y compris des membres de notre équipe de direction et nos employés dans nos fonctions de cybersécurité, juridiques et autres, et avons exfiltré certains e-mails et documents joints. L’enquête indique qu’ils ciblaient initialement les comptes de messagerie pour obtenir des informations liées à Midnight Blizzard lui-même. Nous sommes en train d’informer les employés dont l’e-mail a été consulté.
Traduction des 93 mots cités ci-dessus : Un appareil au sein du réseau Microsoft était protégé par un mot de passe faible sans aucune forme d’authentification à deux facteurs utilisée. Le groupe adverse russe a pu le deviner en le parsemant de mots de passe précédemment compromis ou couramment utilisés jusqu’à ce qu’il trouve finalement le bon. L’acteur menaçant a ensuite accédé au compte.
De plus, cet « ancien compte de locataire test hors production » a été configuré d’une manière ou d’une autre pour que Midnight Blizzard puisse pivoter et accéder à certains des comptes d’employés les plus expérimentés et les plus sensibles de l’entreprise.
Comme l’a écrit Steve Bellovin, professeur d’informatique et professeur de droit affilié à l’Université de Columbia avec des décennies d’expérience en cybersécurité, sur Mastodon :
Alors que Microsoft a déclaré qu’il n’avait connaissance d’aucune preuve que Midnight Blizzard avait eu accès aux environnements clients, aux systèmes de production, au code source ou aux systèmes d’IA, certains chercheurs ont exprimé des doutes, notamment quant à savoir si le service Microsoft 365 pourrait ou aurait été susceptible d’être utilisé. techniques d’attaque similaires. L’un des chercheurs était Kevin Beaumont, qui a eu une longue carrière en cybersécurité qui a notamment travaillé pour Microsoft. Sur LinkedIn, il a écrit :
Le personnel de Microsoft utilise Microsoft 365 pour la messagerie électronique. Les dépôts auprès de la SEC et les blogs sans détails vendredi soir sont excellents… mais ils devront être suivis avec des détails réels. L’époque où Microsoft faisait des tentes, des mots de code d’incident, des choses du CELA et prétendait que MSTIC voyait tout (les acteurs de la menace ont aussi des Mac) est révolue – ils doivent procéder à une transformation technique et culturelle radicale pour conserver la confiance.
Un représentant de Microsoft a déclaré que la société avait refusé de répondre aux questions, notamment sur le respect des pratiques de sécurité de base.
Cette violation n’est pas sans rappeler celle qui a frappé Microsoft l’année dernière lorsque des pirates informatiques chinois, identifiés sous le nom de Storm-0558, ont pénétré dans le réseau de Microsoft. Au cours du mois suivant, le groupe a accédé aux comptes Azure et Exchange de plusieurs clients, dont plusieurs appartenaient aux départements d’État et du commerce américains.