Des pirates ont été repérés abusant de la fonctionnalité Microsoft Partner Network pour Azure AD dans le but de voler des e-mails d’entreprise et d’autres données sensibles (s’ouvre dans un nouvel onglet).
Microsoft et les professionnels de la cybersécurité Proofpoint ont travaillé ensemble (s’ouvre dans un nouvel onglet) pour lutter contre les menaces, expliquant comment ils ont découvert des pirates se faisant passer pour des entreprises légitimes et ont été vérifiés avec succès dans le programme Microsoft Cloud Partner Program (MCPP).
La vérification en tant qu’entreprise légitime a permis aux escrocs d’enregistrer des applications OAuth vérifiées dans Azure AD qui étaient, en réalité, malveillantes et utilisées pour voler les e-mails des gens via le phishing. Pour aggraver les choses, Proofpoint a déclaré que les escrocs auraient également pu utiliser cet accès pour voler des informations de calendrier.
Lancer des attaques BEC
La menace est particulièrement inquiétante car ce type d’informations peut être utilisé pour le cyberespionnage, les attaques par compromission des e-mails professionnels ou comme tremplin vers une forme plus grave de cybercriminalité.
Proofpoint semble avoir été le premier à repérer la campagne le 15 décembre, Microsoft intervenant plus tard pour désactiver tous les comptes et applications frauduleux.
« Microsoft a désactivé les applications et les comptes appartenant à l’acteur de la menace pour protéger les clients et a engagé notre unité de lutte contre les crimes numériques pour identifier d’autres actions qui pourraient être prises avec cet acteur de la menace en particulier », a-t-il déclaré dans son annonce. (s’ouvre dans un nouvel onglet).
« Nous avons mis en place plusieurs mesures de sécurité supplémentaires pour améliorer le processus de vérification du MCPP et réduire le risque de comportement frauduleux similaire à l’avenir. »
Microsoft a également déclaré avoir contacté toutes les entreprises concernées et les a averties d’enquêter en profondeur sur leurs environnements pour s’assurer qu’elles sont à l’abri de tout compromis.
BipOrdinateur affirme que les acteurs malveillants utilisent de plus en plus les applications OAuth pour exécuter des attaques de « hameçonnage de consentement » et cibler les données Office 365 et Microsoft 365, forçant Microsoft à introduire le statut « vérifié ».
Via : BleepingComputer (s’ouvre dans un nouvel onglet)