Cette escalade d'accès a été rendue possible par une « grosse erreur de configuration » de la part de Microsoft, qui a permis à un compte de test hérité d'obtenir des privilèges d'administrateur. Les responsables de Microsoft n'ont pas expliqué la raison de cette configuration et pourquoi elle a persisté. L'attaque a duré deux mois, pendant lesquels les pirates ont surveillé les courriels de cadres supérieurs. D'autres organisations, dont Hewlett Packard Enterprises, ont également été touchées par les activités de Midnight Blizzard. Les pirates ont utilisé des proxies résidentiels pour masquer leurs connexions, rendant la détection basée sur les indicateurs de compromission difficile.
Dans un message informant les clients des résultats de l'enquête en cours, Microsoft a fourni davantage de détails sur la façon dont les pirates ont réussi cette escalade importante. Appartenant au groupe Midnight Blizzard selon l'identification de Microsoft, les pirates ont obtenu un accès permanent aux comptes de messagerie privilégiés en exploitant le protocole d'autorisation OAuth, largement utilisé dans l'industrie pour permettre à diverses applications d'accéder aux ressources d'un réseau. Après la compromission, Midnight Blizzard a créé une application malveillante et lui a attribué des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 de Microsoft.
Cependant, dans une mise à jour, les responsables de Microsoft ont décrit ces événements de manière plutôt obscure, minimisant ainsi l'ampleur de cette grave erreur. Ils ont expliqué que les acteurs de la menace, comme Midnight Blizzard, compromettent des comptes d'utilisateurs pour altérer les autorisations d'applications OAuth, qu'ils peuvent ensuite utiliser à des fins malveillantes pour dissimuler leurs activités. L'abus d'OAuth permet également à ces acteurs de maintenir l'accès aux applications même après avoir perdu l'accès au compte initial compromis.
Midnight Blizzard a exploité son accès initial pour identifier et compromettre une ancienne application OAuth de test, lui conférant un accès élevé à l'environnement de l'entreprise Microsoft. Ils ont ensuite créé d'autres applications OAuth malveillantes, un nouveau compte utilisateur autorisant ces applications à accéder à l'environnement de l'entreprise. Enfin, les cybercriminels ont utilisé l'ancienne application OAuth de test pour lui attribuer le rôle Office 365 Exchange Online full_access_as_app, offrant ainsi un accès aux boîtes aux lettres.
Autorisation OAuth 2.0 avec Microsoft Entra ID
Le protocole OAuth 2,0 est le protocole de l’industrie pour l’autorisation. Il permet à un utilisateur d’accorder un accès limité à ses ressources protégées. Conçu pour fonctionner spécifiquement avec le protocole HTTP (Hypertext Transfer Protocol), OAuth sépare le rôle du client du propriétaire de la ressource. Le client demande l’accès aux ressources contrôlées par le propriétaire de la ressource et hébergées par le serveur de ressources. Le serveur de ressources émet des jetons d’accès avec l’approbation du propriétaire de la ressource. Le client utilise les jetons d’accès pour accéder aux ressources protégées hébergées par le serveur de ressources.
OAuth 2,0 est directement lié à OpenID Connect (OIDC). Étant donné que OIDC est une couche d’authentification et d’autorisation reposant sur OAuth 2,0, il n’est pas compatible avec OAuth 1,0. Microsoft Entra ID prend en charge tous les flux OAuth 2.0.
Composants du système
- Utilisateur : Demande un service à partir de l’application Web (application). L’utilisateur est généralement le propriétaire de la ressource qui détient les données et qui a le pouvoir d’autoriser les clients à accéder aux données ou à la ressource ;
- Navigateur Web : Le navigateur Web avec lequel l’utilisateur interagit est le client OAuth ;
- Application web : L’application Web, ou serveur de ressources, est l’emplacement où réside(nt) la ressource ou les données. Il approuve le serveur d’autorisation pour authentifier et autoriser le client OAuth en toute sécurité ;
- Microsoft Entra ID : Microsoft Entra ID est le serveur d’authentification, également appelé fournisseur d’identité (IdP). Il gère en toute sécurité tout ce qu’il faut faire avec les informations de l’utilisateur, son accès et la relation d’approbation. Il est responsable de l’émission des jetons qui accordent et révoquent l’accès aux ressources.
Kevin Beaumont, chercheur et professionnel de la sécurité fort de plusieurs dizaines d'années d'expérience, dont un passage chez Microsoft, a souligné sur Mastodon que le seul moyen pour un compte d'attribuer le tout-puissant rôle full_access_as_app à une application OAuth est d'avoir des privilèges d'administrateur. Quelqu'un, a-t-il dit, a fait une grosse erreur de configuration dans la production. Il y a de bonnes raisons de limiter étroitement les comptes qui peuvent attribuer un accès aussi large à une application OAuth. Il est difficile d'imaginer une raison légitime d'attribuer et de maintenir de tels droits à un compte de test, en particulier un compte qui a atteint le statut d'héritage.
Ce qui fait de la configuration du compte de test un tel tabou de sécurité, c'est qu'elle a rompu le filet de sécurité que les restrictions sont censées fournir. L'une des pratiques de sécurité réseau les plus fondamentales est le principe du moindre privilège. Les comptes doivent toujours être configurés avec le minimum de privilèges requis pour effectuer les tâches qui leur sont assignées. Dans le cas présent, il est difficile de comprendre pourquoi le compte de test hérité a besoin de privilèges d'administrateur.
« C'est un peu comme avoir un utilisateur Admin de domaine pour le système de production... sauf qu'il s'agit d'un domaine de test, sans sécurité, sans MFA, sans pare-feu, sans surveillance, etc. Traduction : Un utilisateur administrateur de domaine dispose de tous les privilèges administratifs sur tous les appareils connectés à un réseau, y compris le contrôleur de domaine et l'annuaire actif qui stocke les informations d'identification et crée de nouveaux comptes. En tant qu'utilisateurs les plus puissants d'un réseau, ils devraient être isolés et rarement, voire jamais, intégrés à un système de production. Permettre à ces comptes de ne pas être protégés par des mots de passe forts et d'autres mesures de sécurité standard ne ferait qu'aggraver la situation. »
Les responsables de Microsoft ont refusé d'expliquer les raisons de la configuration du compte de test en premier lieu et pourquoi il a été autorisé à persister une fois qu'il a atteint le statut d'ancien compte.
Principe du moindre privilège
Le principe du moindre privilège est un concept de sécurité de l'information selon lequel un utilisateur se voit accorder les niveaux d'accès - ou autorisations - minimaux nécessaires à l'exercice de ses fonctions. Il est largement considéré comme une pratique exemplaire en matière de cybersécurité et constitue une étape fondamentale dans la protection de l'accès privilégié aux données et aux biens de grande valeur. Le principe du moindre privilège s'étend au-delà de l'accès humain. Le modèle peut être appliqué aux applications, aux systèmes ou aux dispositifs connectés qui nécessitent des privilèges ou des autorisations pour effectuer une tâche requise.
L'application du principe de moindre privilège garantit que l'outil non humain dispose de l'accès requis - et rien de plus. Pour que l'application de la règle du moindre privilège soit efficace, il faut un moyen de gérer et de sécuriser de manière centralisée les informations d'identification privilégiées, ainsi que des contrôles flexibles permettant de concilier les exigences de cybersécurité et de conformité avec les besoins opérationnels et les besoins des utilisateurs finaux.
Qu'est-ce que la dérive des privilèges ?
Lorsque les entreprises choisissent de retirer tous les droits administratifs aux utilisateurs professionnels, l'équipe informatique doit souvent réattribuer des privilèges pour que les utilisateurs puissent effectuer certaines tâches. À titre d'exemple, de nombreuses applications internes et personnalisées utilisées au sein des infrastructures informatiques des entreprises exigent des privilèges pour leur bon fonctionnement, tout comme de nombreuses applications commerciales disponibles dans le commerce.
Pour que les utilisateurs professionnels puissent exécuter ces applications autorisées et nécessaires, l'équipe informatique doit leur redonner les privilèges d'administrateur local. Une fois les privilèges réattribués, ils sont rarement révoqués et, au fil du temps, les entreprises peuvent se retrouver avec de nombreux utilisateurs détenant à nouveau des droits d'administrateur local.
Cette « dérive des privilèges » rouvre la faille de sécurité associée à des droits d'administration excessifs et rend les organisations - qui se croient probablement bien protégées - plus vulnérables aux menaces. En mettant en œuvre des contrôles d'accès selon le principe du moindre privilège, les organisations peuvent contribuer à freiner la « dérive des privilèges » et s'assurer que les utilisateurs humains et non humains ne disposent que des niveaux d'accès minimaux requis.
Pourquoi le principe de moindre privilège est-il important ?
Il réduit la surface d'attaque des cyberattaques. La plupart des attaques avancées reposent aujourd'hui sur l'exploitation d'informations d'identification privilégiées. En limitant les privilèges des super-utilisateurs et des administrateurs (qui permettent aux administrateurs informatiques d'accéder librement aux systèmes cibles), l'application du principe de moindre privilège contribue à réduire la surface globale des cyberattaques.
Elle stoppe la propagation des logiciels malveillants. En appliquant la règle du moindre privilège sur les terminaux, les attaques de logiciels malveillants (telles que les attaques par injection SQL) sont incapables d'utiliser des privilèges élevés pour accroître l'accès et se déplacer latéralement afin d'installer ou d'exécuter des logiciels malveillants ou d'endommager la machine.
Elle améliore la productivité de l'utilisateur final. La suppression des droits d'administrateur local des utilisateurs professionnels contribue à réduire les risques, mais l'élévation des privilèges juste à temps, sur la base d'une politique, permet de maintenir la productivité des utilisateurs et de réduire au minimum les appels au service d'assistance informatique.
Elle permet de rationaliser la conformité et les audits. De nombreuses politiques internes et exigences réglementaires imposent aux entreprises d'appliquer le principe du moindre privilège aux comptes privilégiés afin de prévenir les dommages malveillants ou involontaires aux systèmes critiques. L'application du principe de moindre privilège aide les entreprises à démontrer leur conformité grâce à une piste d'audit complète des activités privilégiées.
Midnight Blizzard
Midnight Blizzard (également connu sous le nom de NOBELIUM) est un acteur de la menace basé en Russie, attribué par les gouvernements américain et britannique au Service de renseignement extérieur de la Fédération de Russie, également connu sous le nom de SVR. Cet acteur de la menace est connu pour cibler principalement les gouvernements, les entités diplomatiques, les organisations non gouvernementales (ONG) et les fournisseurs de services informatiques, principalement aux États-Unis et en Europe. Son objectif est de collecter des renseignements par le biais d'un espionnage dévoué et de longue date d'intérêts étrangers, qui peut être retracé depuis le début de l'année 2018. Leurs opérations impliquent souvent la compromission de comptes valides et, dans certains cas très ciblés, des techniques avancées pour compromettre les mécanismes d'authentification au sein d'une organisation afin d'élargir l'accès et d'échapper à la détection.
Midnight Blizzard est cohérent et persistant dans son ciblage opérationnel, et ses objectifs changent rarement. Les activités d'espionnage et de collecte de renseignements de Midnight Blizzard s'appuient sur diverses techniques d'accès initial, de déplacement latéral et de persistance pour collecter des informations à l'appui des intérêts de la Russie en matière de politique étrangère. Ils utilisent diverses méthodes d'accès initial, allant du vol d'informations d'identification aux attaques de la chaîne d'approvisionnement, en passant par l'exploitation d'environnements sur site pour se déplacer latéralement vers le nuage et l'exploitation de la chaîne de confiance des fournisseurs de services pour accéder aux clients en aval.
Midnight Blizzard est également capable d'identifier et d'exploiter les applications OAuth pour se déplacer latéralement dans les environnements en nuage et pour des activités postérieures à la compromission, telles que la collecte de courriels. OAuth est une norme ouverte d'authentification et d'autorisation basée sur des jetons qui permet aux applications d'accéder aux données et aux ressources en fonction des autorisations définies par l'utilisateur.
La dernière mise à jour de Microsoft a apporté deux précisions supplémentaires. La première est que l’entreprise a détecté d'autres violations par Midnight Blizzard frappant d'autres organisations et qu'elle a notifié les personnes concernées. Hewlett Packard Enterprises a déclaré en début de semaine que son réseau avait également été piraté par Midnight Blizzard. Cette brèche s'est produite en mai et n'a été découverte ou contenue qu'en décembre.
Deuxième détail : la pulvérisation de mots de passe utilisée pour accéder au compte test était limitée à un nombre restreint de comptes avec un faible nombre de tentatives d'accès pour chacun d'entre eux. Midnight Blizzard a encore réduit son activité malveillante en menant ces attaques à partir d'une infrastructure de proxy résidentielle distribuée. Cette méthode est utilisée depuis plusieurs années, notamment lors de l'attaque de la chaîne d'approvisionnement de SolarWinds en 2020, qui a également été menée par Midnight Blizzard. En se connectant aux cibles à partir d'adresses IP jouissant d'une bonne réputation et géolocalisées dans des régions attendues, les pirates se sont fondus dans la masse des utilisateurs légitimes.
L'incident de sécurité impliquant le groupe de pirates Midnight Blizzard au sein du réseau de Microsoft soulève des préoccupations majeures quant à la robustesse des mesures de sécurité de l'entreprise. L'utilisation d'un ancien compte de test avec des privilèges administratifs comme point d'entrée pour les pirates est préoccupante et met en lumière une faille de sécurité significative.
La complexité inhérente à certains produits de Microsoft peut poser des défis significatifs pour les organisations, en particulier les petites entreprises, lors de la gestion des paramètres de sécurité et des privilèges. Cette complexité peut rendre la configuration et la maintenance des mesures de sécurité plus difficiles, nécessitant souvent des compétences techniques approfondies.
Erreurs de configuration chez Microsoft : Interrogations sur la sécurité et les privilèges
Malgré l'approche proactive adoptée par Microsoft pour remédier aux vulnérabilités, son écosystème logiciel a été historiquement pris pour cible par des attaques. La vaste gamme de produits Microsoft peut potentiellement créer des points d'accès favorables aux menaces de sécurité. Des inquiétudes ont également été exprimées au sujet de la confidentialité des données dans certains produits de l'entreprise. La collecte de données suscite des préoccupations quant à la protection de la vie privée des utilisateurs, soulignant la nécessité pour Microsoft d'établir des politiques et des pratiques transparentes en matière de gestion des données.
Bien que Microsoft propose des outils dédiés à la gestion des privilèges, leur implémentation peut se révéler complexe. La nécessité d'une expertise significative pour configurer correctement ces outils peut représenter un défi pour de nombreuses organisations. La technique de « password spraying » utilisée pour accéder à un compte non protégé par l'authentification multifactorielle souligne l'importance d'une vigilance accrue envers les pratiques de sécurité standard. L'exploitation du protocole OAuth pour attribuer des droits d'accès à toutes les adresses électroniques du service de messagerie Office 365 met en lumière l'étendue potentielle de l'impact de l'attaque, notamment la surveillance des courriels de cadres supérieurs pendant une période de deux mois.
L'allusion à une « erreur de configuration majeure » de la part de Microsoft soulève des interrogations cruciales sur les pratiques de sécurité et la gestion des privilèges au sein de l'entreprise. L'accord de privilèges administratifs à un compte de test hérité sans explication claire ni justification représente une lacune sérieuse. Le manque d'explication de la part des responsables de Microsoft concernant la raison de cette configuration et sa persistance souligne un défaut de transparence qui pourrait susciter des inquiétudes parmi les utilisateurs et les entreprises clientes. La période de deux mois pendant laquelle les pirates ont pu surveiller les courriels de cadres supérieurs met également en exergue des failles dans la détection des menaces et la réactivité de l'entreprise face à de telles situations.
La propagation de l'attaque à d'autres organisations, notamment Hewlett Packard Enterprises, met en évidence la nécessité d'une collaboration et d'une communication renforcées entre les entreprises afin de mieux se prémunir contre de telles menaces. L'utilisation de proxies résidentiels par les pirates pour dissimuler leurs connexions souligne la sophistication de leurs méthodes, mettant en lumière les défis croissants auxquels font face les entreprises en matière de détection des activités malveillantes.
L’incident met en évidence la nécessité pour les entreprises, y compris les géants de la technologie comme Microsoft, de revoir et de renforcer constamment leurs pratiques de sécurité, en mettant un accent particulier sur la gestion des privilèges, la détection proactive des menaces et la transparence vis-à-vis de leurs utilisateurs.
Sources : Microsoft, SEC
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Quel est votre avis sur ce sujet ?
Comment se fait-il qu'un compte sensible ne soit pas protégé par l'authentification multifactorielle, surtout compte tenu des risques actuels associés aux attaques par « password spraying » ?
Comment les activités de Midnight Blizzard ont-elles également touché d'autres organisations, telles que Hewlett Packard Enterprises, et quelles leçons peuvent être tirées pour renforcer la cybersécurité dans l'ensemble de l'industrie ?
Voir aussi :
Microsoft affirme que des pirates informatiques liés à la Russie sont à l'origine de dizaines d'attaques, de phishing par Teams
LitterDrifter : le ver USB déclenché par des pirates informatiques russes se propage dans le monde entier, il est soupçonné d'être une évolution d'un ver USB basé sur PowerShell
Le réseau de Microsoft a été violé par des pirates de l'État russe qui ont exploité un mot de passe faible pour lancer l'attaque, l'intrusion a commencé fin novembre et a été découverte le 12 janvier