Crédit : Dreamstime
Les pirates ont en fait établi des méthodes pour contourner l’authentification multifacteur (MFA ) sur des services de productivité cloud tels que Microsoft 365 (anciennement Workplace 365).
Une attaque BEC récemment analysée par l’entreprise de réaction aux événements cloud Mitiga a utilisé une attaque de phishing par adversaire au milieu (AitM) pour contourner Microsoft Office 365 MFA et accédez au compte d’un responsable de service, puis réussissez à inclure un deuxième dispositif d’authentification au compte pour un accès persistant.
Selon les chercheurs, la campagne qu’ils ont analysée est répandue et cible des transactions importantes pouvant atteindre plusieurs millions de dollars chacune.
Accès préliminaire pour l’attaque BEC
L’attaque a commencé par un e-mail de phishing bien conçu se faisant passer pour une notification de DocuSign, un cloud largement utilisé service de finalisation de fichiers électroniques. L’e-mail a été conçu pour le dirigeant d’entreprise ciblé, recommandant que les opposants aient effectivement effectué un travail de reconnaissance.
Le lien dans l’e-mail de phishing a provoqué un site Web contrôlé par l’attaquant qui redirige ensuite vers une page de connexion à authentification unique Microsoft 365.
Cette fausse page de connexion utilise une méthode AitM , où les ennemis exécutent un proxy inverse pour les demandes d’authentification dans les deux sens entre la victime et le véritable site Microsoft 365. La victime a la même expérience que sur la page de connexion Microsoft authentique, avec la demande MFA légitime qu’elle doit effectuer à l’aide de son application d’authentification.
Lorsque la procédure d’authentification est effectivement terminée, le service Microsoft produit un jeton de session qui est signalé dans ses systèmes qu’il a rempli la MFA. La différence est que, parce que les assaillants ont agi en tant que proxy, ils ont maintenant également ce jeton de session et peuvent l’utiliser pour accéder au compte.
Cette méthode de proxy inverse n’est pas nouvelle et a été utilisée pour contourner MFA pour un certain nombre d’années. Des cadres d’attaque open source faciles à utiliser ont été produits à cet effet.
L’application d’authentification secondaire offre la persistance
Selon les journaux analysés par Mitiga , les agresseurs ont utilisé la session active pour ajouter une application d’authentification secondaire au compte compromis, leur donnant de la persévérance même si ce jeton de session se terminait plus tard. Parce qu’ils avaient déjà intercepté les qualifications de l’utilisateur, ils disposaient désormais de leur propre méthode pour produire des codes MFA.
» L’ajout d’un périphérique MFA supplémentaire à un utilisateur de publicité Azure ne nécessite aucune vérification supplémentaire, telle que la réapprobation de MFA pour la session », ont déclaré les chercheurs dans leur rapport.
» Cela signifie que l’agresseur peut ajouter un gadget MFA au compte de la victime même une semaine entière après la prise de la session sans invoquer d’autre interaction de l’utilisateur, telle qu’une nouvelle demande d’approbation MFA. «
Les scientifiques pensent qu’il s’agit d’une faiblesse de conception dans le système d’authentification de Microsoft, car de leur point de vue, les actions sensibles à la sécurité telles que la personnalisation des alternatives MFA, consistant à inclure un nouveau gadget MFA, doivent déclencher une rechallenge MFA. Ce n’est pas la seule action sensible où cela ne se produit pas.
Selon les scientifiques, l’utilisation de la fonctionnalité Privileged Identity Management (PIM) d’Azure AD, qui permet aux administrateurs d’élever momentanément leurs privilèges, ne nécessite pas non plus de remise en question MFA.
» PIM est développé pour que les utilisateurs administratifs puissent gérer des droits non administratifs et n’élever leurs autorisations qu’à un administrateur utilisant ce portail « , ont déclaré les scientifiques.
» Microsoft n’autorise cependant pas le client à avoir besoin d’un nouveau défi MFA pour cette activité malgré son danger élevé. Cela indique que même si vous avez activé PIM, si le compte est compromis, l’agresseur peut mettre fin devenir administrateur en se rendant eux-mêmes sur le site Web du PIM (bien que, au moins dans ce cas, l’utilisateur recevra une alerte indiquant que quelqu’un a déclenché cette opportunité). «
Un autre problème mis en évidence par Mitiga est que les consommateurs ne n’ont pas la possibilité de configurer le moment où une nouvelle contestation MFA a lieu s’ils considèrent que le comportement par défaut n’est pas suffisamment strict.
Le mieux qu’ils puissent faire est de définir le délai d’expiration du jeton de session à la valeur la plus abordable possible pour limiter la fenêtre de temps dont dispose l’agresseur, mais ce n’est pas pratique car l’agresseur a besoin de quelques secondes pour effectuer une telle opération. action.
Dans cet événement, les ennemis ont utilisé le jeton de session à partir d’une adresse IP à Dubaï, une zone que la victime n’a jamais visitée ou visitée auparavant. Une telle modification en place devrait également entraîner un nouveau défi MFA.
« Microsoft Identity Defense a en fait identifié quelques-uns d’entre eux comme des connexions dangereuses », ont déclaré les scientifiques. » Cependant, à moins qu’une organisation ne puisse résister à quelques-uns des positifs incorrects générés par Identity Security, le comportement par défaut est d’exiger une rechallenge MFA, qui n’est pas efficace pour le moment car l’attaquant a déjà établi l’application Authenticator. »
Reconnaissance et détournement de fils de messagerie
Après avoir accédé au compte Microsoft 365 du dirigeant, les agresseurs ont commencé à consulter sa correspondance Outlook et ses fichiers SharePoint. Cela leur a permis de déterminer un fil de discussion par e-mail sur un accord à venir entre l’entreprise de la victime et une autre.
La conversation a été copiée par de nombreuses personnes, composées de dirigeants de l’entreprise et d’avocats du cabinet d’avocats représentant l’organisation, ainsi que de dirigeants de la société tierce qui devait envoyer le fonds et son dossier juridique. représentants.
Les agresseurs ont recherché des fichiers liés à la transaction, y compris des contrats et d’autres documents monétaires. Ils ont ensuite enregistré de faux noms de domaine pour l’entreprise de la victime et son cabinet d’avocats et ont rédigé un e-mail au nom de l’un des avocats, informant l’entreprise tierce que l’entreprise de la victime a en fait mis à jour ses directives et son compte en raison d’un gel d’audit continu. leur compte de routine.
La raison pour laquelle les faux domaines, qui ressemblaient aux vrais domaines, étaient nécessaires était de donner l’impression de garder toutes les parties précédentes dans le fil de discussion, mais d’utiliser de fausses adresses e-mail plutôt qu’ils ne recevez pas vraiment le tout nouvel e-mail. Seuls les représentants de la société tierce qui devait initier la transaction ont vu l’e-mail malveillant.
Heureusement, certains des destinataires ont commencé à se méfier de l’e-mail, de sorte que l’accord n’a pas abouti, mais il y en a beaucoup cas où les travailleurs agissent sur des e-mails aussi soigneusement construits et transfèrent de l’argent sur des comptes contrôlés par des opposants.
Selon le Web Criminal Activity Problem Center (IC3) du FBI, les attaques BEC ont entraîné plus de 43 milliards de dollars de pertes entre juin 2016 et décembre 2021.
» développement des attaques AitM (même sans la détermination permise par un ennemi ajoutant une nouvelle technique d’authentification compromise), il est clair que nous ne pouvons plus compter sur l’authentification multifacteur comme notre principale ligne de défense contre les attaques d’identité « , les chercheurs a dit.
» Nous vous recommandons vivement de configurer une autre couche de défense sous la forme d’un troisième facteur connecté à un gadget physique ou à l’ordinateur portable et au téléphone autorisés de l’employé. Microsoft 365 propose cela dans le cadre de l’accès conditionnel à en ajoutant une exigence de validation au moyen d’un appareil inscrit et certifié uniquement, ce qui empêcherait entièrement les attaques AitM. «
Mitiga a également publié un avis de sécurité sur la campagne BEC.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
