Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Tags
Archives
Related
Recommended
Home » Blogueurs » Jean-Sébastien DUCHENE Blog's » Microsoft revient sur l’attaque de Midnight Blizzard

Le 12 janvier 2024, Microsoft a annoncé avoir décelé une attaque d'une nature préoccupante perpétrée par un agent national sur ses systèmes d'entreprise. L'équipe de sécurité de Microsoft, a pris des actions dans le but d'interrompre l'activité malveillante, d'endiguer les attaques et de désactiver l'accès de l'acteur de la menace. Le groupe désigné sous le nom de Midnight Blizzard, précédemment associé à NOBELIUM, APT29, UNC2452 et Cozy Bear, est identifié comme étant parrainé par l'État russe, réaffirmant les menaces de cybermenaces qui pèsent entre les nations.

Plus tôt, le 2 août 2023, Midnight Blizzard a utilisé des attaques par Password Spray à un nombre limité de comptes, en utilisant un faible nombre de tentatives pour échapper à la détection et éviter les blocages de comptes basés sur le volume d'échecs, Ils ont réussi à compromettre un ancien compte de tenant de test non productif qui n'avait pas d'authentification multifactorielle (MFA) activée. En outre, l'auteur de la menace a encore réduit la probabilité d'être découvert en lançant ces attaques à partir d'une infrastructure de proxy résidentielle distribuée. Ces techniques d'évasion ont permis à l'acteur d'obscurcir son activité et de maintenir l'attaque dans le temps jusqu'à ce qu'elle soit couronnée de succès.

Midnight Blizzard a tiré parti de son accès initial pour identifier et compromettre une ancienne application OAuth de test qui disposait d'un accès élevé à l'environnement de l'entreprise Microsoft. L'acteur a créé d'autres applications OAuth malveillantes. Il a créé un nouveau compte utilisateur pour autoriser les applications OAuth malveillantes contrôlées par l'acteur à accéder à l'environnement de l'entreprise Microsoft. L'acteur de la menace a ensuite utilisé l'ancienne application OAuth de test pour lui accorder le rôle Office 365 Exchange Online full_access_as_app, qui permet d'accéder aux boîtes aux lettres. Midnight Blizzard a exploité ces applications OAuth malveillantes pour s'authentifier auprès de Microsoft Exchange Online et cibler les comptes de messagerie d'entreprise de Microsoft.

Microsoft a fourni des éléments pour se prémunir de ce genre d’attaques :

  1. Utilisation de Microsoft Entra ID Protection.
  2. Utilisation de Microsoft Defender for Cloud Apps pour gérer les applications OAuth et les usages frauduleux.
  3. Utilisation de Microsoft Defender XDR et notamment l’alerte Suspicious user created an OAuth app that accessed mailbox items.
  4. Utilisation de règles de Hunting pour détecter des événements relatifs à cet attaque
  5. Sensibilisation et Formation : Accroître la sensibilisation et former le personnel sur les tactiques de social engineering et les attaques par phishing, notamment à la lumière des attaques orchestrées via les chats Microsoft Teams.

Vous pouvez obtenir plus d’informations sur l’attaque et les recommandations sur : Midnight Blizzard: Guidance for responders on nation-state attack | Microsoft Security Blog

Facebook Like
2024 - MicrosoftTouch
Site indépendant de passionnés
La communauté fournit le site et le contenu "tels quels" et ne donne aucune garantie quant au site et à ses contenus.
Le contenu est l'entière propriété de l'auteur. Son plagiat vous expose à des poursuites.
Powered by VERINT