Des pirates informatiques russes ont exploité un mot de passe faible pour compromettre le réseau d’entreprise de Microsoft et ont accédé aux e-mails et aux documents appartenant à des cadres supérieurs et à des employés travaillant dans des équipes de sécurité et juridiques, a déclaré Microsoft vendredi soir.
L’attaque, que Microsoft attribue à un groupe de piratage soutenu par le Kremlin et qu’il suit sous le nom de Midnight Blizzard, est au moins la deuxième fois en autant d’années que le non-respect des règles de sécurité de base entraîne une violation susceptible de nuire aux clients. Un paragraphe de la divulgation de vendredi, déposée auprès de la Securities and Exchange Commission, était ahurissant :
À partir de fin novembre 2023, l’auteur de la menace a utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de locataire test hors production et prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d’entreprise Microsoft, y compris des membres de notre équipe de direction et nos employés dans nos fonctions de cybersécurité, juridiques et autres, et avons exfiltré certains e-mails et documents joints. L’enquête indique qu’ils ciblaient initialement les comptes de messagerie pour obtenir des informations liées à Midnight Blizzard lui-même. Nous sommes en train d’informer les employés dont l’e-mail a été consulté.
Microsoft n’a détecté la violation que le 12 janvier, exactement une semaine avant la divulgation de vendredi. La description de l’incident par Microsoft laisse entendre que les pirates russes ont eu un accès ininterrompu aux comptes pendant une période allant jusqu’à deux mois.
Traduction des 93 mots cités ci-dessus : Un appareil au sein du réseau Microsoft était protégé par un mot de passe faible sans aucune forme d’authentification à deux facteurs utilisée. Le groupe adverse russe a pu le deviner en le parsemant de mots de passe précédemment compromis ou couramment utilisés jusqu’à ce qu’il trouve finalement le bon. L’acteur menaçant a ensuite accédé au compte.
De plus, cet « ancien compte de locataire test hors production » a été configuré d’une manière ou d’une autre pour que Midnight Blizzard puisse pivoter et accéder à certains des comptes d’employés les plus expérimentés et les plus sensibles de l’entreprise.
Comme l’a écrit Steve Bellovin, professeur d’informatique et professeur de droit affilié à l’Université de Columbia avec des décennies d’expérience en cybersécurité, sur Mastodon :
Alors que Microsoft a déclaré qu’il n’avait connaissance d’aucune preuve que Midnight Blizzard avait eu accès aux environnements clients, aux systèmes de production, au code source ou aux systèmes d’IA, certains chercheurs ont exprimé des doutes, notamment quant à savoir si le service Microsoft 365 pourrait ou aurait été susceptible d’être utilisé. techniques d’attaque similaires. L’un des chercheurs était Kevin Beaumont, qui a eu une longue carrière en cybersécurité qui a notamment travaillé pour Microsoft. Sur LinkedIn, il a écrit :
Le personnel de Microsoft utilise Microsoft 365 pour la messagerie électronique. Les dépôts auprès de la SEC et les blogs sans détails vendredi soir sont excellents… mais ils devront être suivis avec des détails réels. L’époque où Microsoft faisait des tentes, des mots de code d’incident, des choses du CELA et prétendait que MSTIC voyait tout (les acteurs de la menace ont aussi des Mac) est révolue – ils doivent procéder à une transformation technique et culturelle radicale pour conserver la confiance.
CELA est l’abréviation de Corporate, External, and Legal Affairs, un groupe au sein de Microsoft qui aide à rédiger les divulgations. MSTIC signifie Microsoft Threat Intelligence Center.