Des pirates informatiques russes ont exploité un mot de passe faible pour compromettre le réseau d’entreprise de Microsoft et ont accédé aux e-mails et aux documents appartenant à des cadres supérieurs et à des employés travaillant dans des équipes de sécurité et juridiques, a déclaré Microsoft vendredi soir.
L’attaque, que Microsoft a attribuée à un groupe de piratage soutenu par le Kremlin et qu’il suit sous le nom de Midnight Blizzard, est au moins la deuxième fois en autant d’années que le non-respect des règles de sécurité de base entraîne une violation susceptible de nuire aux clients. Un paragraphe dans La révélation de vendredidéposé auprès de la Securities and Exchange Commission, était stupéfiant :
À partir de fin novembre 2023, l’auteur de la menace a utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de locataire test hors production et prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d’entreprise Microsoft, y compris des membres de notre équipe de direction et nos employés dans nos fonctions de cybersécurité, juridiques et autres, et avons exfiltré certains e-mails et documents joints. L’enquête indique qu’ils ciblaient initialement les comptes de messagerie pour obtenir des informations liées à Midnight Blizzard lui-même. Nous sommes en train d’informer les employés dont l’e-mail a été consulté.
Microsoft n’a détecté la violation que le 12 janvier, exactement une semaine avant la divulgation de vendredi. Le compte de Microsoft laisse penser que les pirates russes ont eu un accès ininterrompu aux comptes pendant une période allant jusqu’à deux mois.
Traduction des 93 mots cités ci-dessus : Un appareil au sein du réseau Microsoft était protégé par un mot de passe faible sans aucune forme d’authentification à deux facteurs utilisée. Le groupe adverse russe a pu le deviner en le parsemant de mots de passe précédemment compromis ou couramment utilisés jusqu’à ce qu’il trouve finalement le bon. L’acteur malveillant a ensuite accédé au compte, indiquant que soit 2FA n’était pas utilisé, soit que la protection avait été contournée d’une manière ou d’une autre.
De plus, cet « ancien compte de locataire test hors production » a été configuré d’une manière ou d’une autre pour que Midnight Blizzard puisse pivoter et accéder à certains des comptes d’employés les plus expérimentés et les plus sensibles de l’entreprise.
Comme Steve Bellovin, professeur d’informatique et professeur de droit affilié à l’Université de Columbia avec des décennies d’expérience en cybersécurité, a écrit sur Mastodon:
Beaucoup d’implications fascinantes ici. Une attaque réussie par pulvérisation de mot de passe suggère l’absence de 2FA et des mots de passe réutilisés ou faibles. L’accès aux comptes de messagerie appartenant aux équipes de « haute direction… de cybersécurité et juridiques » en utilisant uniquement les autorisations d’un « compte de locataire test » suggère que quelqu’un a donné à ce compte de test des privilèges incroyables. Pourquoi? Pourquoi n’a-t-il pas été supprimé à la fin du test ? Je note également qu’il a fallu environ sept semaines à Microsoft pour détecter l’attaque.
Alors que Microsoft a déclaré qu’il n’avait connaissance d’aucune preuve que Midnight Blizzard avait eu accès aux environnements clients, aux systèmes de production, au code source ou aux systèmes d’IA, certains chercheurs ont exprimé des doutes, notamment quant à savoir si le service Microsoft 365 pourrait ou aurait été susceptible d’être utilisé. techniques d’attaque similaires. L’un des chercheurs était Kevin Beaumont, qui a eu une longue carrière en cybersécurité qui a notamment travaillé pour Microsoft. Sur LinkedIn, il a écrit:
Le personnel de Microsoft utilise Microsoft 365 pour le courrier électronique. Les dépôts auprès de la SEC et les blogs sans détails vendredi soir sont excellents… mais ils devront être suivis avec des détails réels. L’époque où Microsoft faisait des tentes, des mots de code d’incident, des choses du CELA et prétendait que MSTIC voyait tout (les acteurs de la menace ont aussi des Mac) est révolue – ils doivent procéder à une transformation technique et culturelle radicale pour conserver la confiance.
CELA est l’abréviation de Corporate, External, and Legal Affairs, un groupe au sein de Microsoft qui aide à rédiger les divulgations. MSTIC signifie Microsoft Threat Intelligence Center.