{"id":1258322,"date":"2024-07-29T12:42:10","date_gmt":"2024-07-29T14:42:10","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-faille-de-routage-des-e-mails-de-proofpoint-exploitee-pour-envoyer-des-millions-de-mails-de-phishing-falsifies\/"},"modified":"2024-07-29T12:42:15","modified_gmt":"2024-07-29T14:42:15","slug":"une-faille-de-routage-des-e-mails-de-proofpoint-exploitee-pour-envoyer-des-millions-de-mails-de-phishing-falsifies","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-faille-de-routage-des-e-mails-de-proofpoint-exploitee-pour-envoyer-des-millions-de-mails-de-phishing-falsifies\/","title":{"rendered":"Une faille de routage des e-mails de Proofpoint exploit\u00e9e pour envoyer des millions d’e-mails de phishing falsifi\u00e9s"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Un acteur de menace inconnu a \u00e9t\u00e9 li\u00e9 \u00e0 une campagne d’escroquerie massive qui a exploit\u00e9 une mauvaise configuration de routage des e-mails dans les d\u00e9fenses du fournisseur de s\u00e9curit\u00e9 de messagerie Proofpoint pour envoyer des millions de messages usurpant l’identit\u00e9 de diverses soci\u00e9t\u00e9s populaires comme Best Buy, IBM, Nike et Walt Disney, entre autres.<\/p>\n

\u00ab Ces e-mails provenaient de relais de messagerie officiels de Proofpoint avec des signatures SPF et DKIM authentifi\u00e9es, contournant ainsi les principales protections de s\u00e9curit\u00e9 – tout cela pour tromper les destinataires et voler des fonds et des informations de carte de cr\u00e9dit \u00bb, a d\u00e9clar\u00e9 Nati Tal, chercheuse chez Guardio Labs. dit<\/a> dans un rapport d\u00e9taill\u00e9 partag\u00e9 avec The Hacker News.<\/p>\n

La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a donn\u00e9 \u00e0 la campagne le nom Usurpation d’\u00e9cho<\/strong>L’activit\u00e9 aurait commenc\u00e9 en janvier 2024, l’acteur malveillant exploitant la faille pour envoyer jusqu’\u00e0 trois millions d’e-mails par jour en moyenne, un nombre qui a atteint un pic de 14 millions d\u00e9but juin lorsque Proofpoint a commenc\u00e9 \u00e0 mettre en place des contre-mesures.<\/p>\n

\u00ab La partie la plus unique et la plus puissante de ce domaine est la m\u00e9thode d’usurpation d’identit\u00e9, qui ne laisse pratiquement aucune chance de r\u00e9aliser qu’il ne s’agit pas d’un v\u00e9ritable e-mail envoy\u00e9 par ces entreprises \u00bb, a d\u00e9clar\u00e9 Tal \u00e0 la publication. <\/p>\n

\u00ab Ce concept d’EchoSpoofing est vraiment puissant. C’est assez \u00e9trange qu’il soit utilis\u00e9 pour des campagnes de phishing \u00e0 grande \u00e9chelle comme celle-ci au lieu d’une campagne de spear-phishing de type boutique, o\u00f9 un attaquant peut rapidement prendre l’identit\u00e9 de n’importe quel membre r\u00e9el de l’\u00e9quipe de l’entreprise et envoyer des e-mails \u00e0 d’autres coll\u00e8gues. Finalement, gr\u00e2ce \u00e0 une ing\u00e9nierie sociale de haute qualit\u00e9, il peut acc\u00e9der aux donn\u00e9es internes ou aux identifiants et m\u00eame compromettre l’ensemble de l’entreprise.<\/p>\n

La technique, qui implique que l’acteur de la menace envoie les messages depuis un serveur SMTP sur un serveur priv\u00e9 virtuel (VPS), est remarquable par le fait qu’elle est conforme aux mesures d’authentification et de s\u00e9curit\u00e9<\/a> tels que SPF et DKIM, qui sont respectivement les abr\u00e9viations de Sender Policy Framework et DomainKeys Identified Mail, et font r\u00e9f\u00e9rence \u00e0 des m\u00e9thodes d’authentification con\u00e7ues pour emp\u00eacher les attaquants d’imiter un domaine l\u00e9gitime.<\/p>\n

\"La<\/a><\/center><\/section>\n

Tout cela se r\u00e9sume au fait que ces messages sont achemin\u00e9s \u00e0 partir de divers locataires Microsoft 365 contr\u00f4l\u00e9s par des adversaires, qui sont ensuite relay\u00e9s via les infrastructures de messagerie des clients d’entreprise de Proofpoint pour atteindre les utilisateurs de fournisseurs de messagerie gratuits tels que Yahoo!, Gmail et GMX.<\/p>\n

Il s\u2019agit du r\u00e9sultat de ce que Guardio a d\u00e9crit comme une \u00ab faille de configuration super-permissive \u00bb dans les serveurs Proofpoint (\u00ab pphosted.com \u00bb) qui permettait essentiellement aux spammeurs de profiter de l\u2019infrastructure de messagerie pour envoyer les messages.<\/p>\n

\u00ab La cause principale est une fonctionnalit\u00e9 de configuration de routage de courrier \u00e9lectronique modifiable sur les serveurs Proofpoint pour permettre le relais des messages sortants des organisations \u00e0 partir des locataires Microsoft 365, mais sans sp\u00e9cifier quels locataires M365 autoriser \u00bb, a d\u00e9clar\u00e9 Proofpoint. dit<\/a> dans un rapport de divulgation coordonn\u00e9 partag\u00e9 avec The Hacker News.<\/p>\n

\u00ab Toute infrastructure de messagerie qui offre cette fonctionnalit\u00e9 de configuration de routage de courrier \u00e9lectronique peut \u00eatre utilis\u00e9e de mani\u00e8re abusive par les spammeurs. \u00bb<\/p>\n

\"Courriels<\/a><\/div>\n

En d’autres termes, un attaquant peut exploiter cette faille pour configurer des locataires Microsoft 365 malveillants et transmettre des messages \u00e9lectroniques falsifi\u00e9s aux serveurs relais de Proofpoint, d’o\u00f9 ils sont \u00ab renvoy\u00e9s \u00bb sous forme de v\u00e9ritables missives num\u00e9riques se faisant passer pour les domaines des clients.<\/p>\n

Cela est r\u00e9alis\u00e9 en configurant le connecteur de courrier \u00e9lectronique sortant du serveur Exchange directement sur le point de terminaison vuln\u00e9rable pphosted.com associ\u00e9 au client. En outre, une version pirat\u00e9e d’un logiciel de distribution de courrier \u00e9lectronique l\u00e9gitime appel\u00e9 PowerMTA<\/a> est utilis\u00e9 pour envoyer les messages.<\/p>\n

\"Courriels<\/a><\/div>\n

\u00ab Le spammeur a utilis\u00e9 une s\u00e9rie tournante de serveurs priv\u00e9s virtuels (VPS) lou\u00e9s aupr\u00e8s de plusieurs fournisseurs, utilisant de nombreuses adresses IP diff\u00e9rentes pour lancer des rafales rapides de milliers de messages \u00e0 la fois \u00e0 partir de leurs serveurs SMTP, envoy\u00e9s \u00e0 Microsoft 365 pour \u00eatre relay\u00e9s vers les serveurs clients h\u00e9berg\u00e9s par Proofpoint \u00bb, a d\u00e9clar\u00e9 Proofpoint.<\/p>\n

\u00ab Microsoft 365 a accept\u00e9 ces messages falsifi\u00e9s et les a envoy\u00e9s aux infrastructures de messagerie de ces clients pour \u00eatre relay\u00e9s. Lorsque les domaines des clients ont \u00e9t\u00e9 falsifi\u00e9s lors du relais via l’infrastructure de messagerie du client correspondant, la signature DKIM a \u00e9galement \u00e9t\u00e9 appliqu\u00e9e lorsque les messages ont transit\u00e9 par l’infrastructure Proofpoint, ce qui a rendu les messages de spam plus faciles \u00e0 distribuer. \u00bb<\/p>\n

On soup\u00e7onne que l’EchoSpoofing a \u00e9t\u00e9 intentionnellement choisi par les op\u00e9rateurs comme moyen de g\u00e9n\u00e9rer des revenus ill\u00e9gaux et d’\u00e9viter le risque d’exposition pendant de longues p\u00e9riodes, car cibler directement les entreprises via ce modus operandi aurait pu augmenter consid\u00e9rablement les chances d’\u00eatre d\u00e9tect\u00e9, mettant ainsi en p\u00e9ril l’ensemble du syst\u00e8me.<\/p>\n

\"\"<\/a><\/div>\n

Cela \u00e9tant dit, on ne sait pas encore clairement qui se cache derri\u00e8re cette campagne. Proofpoint a d\u00e9clar\u00e9 que cette activit\u00e9 ne recoupait aucun groupe ou acteur connu de la menace.<\/p>\n

\u00ab En mars, les chercheurs de Proofpoint ont identifi\u00e9 des campagnes de spam relay\u00e9es par un petit nombre d’infrastructures de messagerie de clients de Proofpoint en envoyant du spam depuis des locataires Microsoft 365 \u00bb, a indiqu\u00e9 l’entreprise dans un communiqu\u00e9. \u00ab Toutes les analyses indiquent que cette activit\u00e9 a \u00e9t\u00e9 men\u00e9e par un acteur de spam, dont nous n’attribuons pas l’activit\u00e9 \u00e0 une entit\u00e9 connue. \u00bb<\/p>\n

\u00ab Depuis la d\u00e9couverte de cette campagne de spam, nous avons travaill\u00e9 avec diligence pour fournir des instructions correctives, notamment la mise en \u0153uvre d’une interface administrative simplifi\u00e9e permettant aux clients de sp\u00e9cifier quels locataires M365 sont autoris\u00e9s \u00e0 relayer, tous les autres locataires M365 \u00e9tant refus\u00e9s par d\u00e9faut. \u00bb<\/p>\n

Proofpoint a soulign\u00e9 qu’aucune donn\u00e9e client n’avait \u00e9t\u00e9 divulgu\u00e9e et qu’aucun d’entre eux n’avait subi de perte de donn\u00e9es \u00e0 la suite de ces campagnes. L’entreprise a \u00e9galement indiqu\u00e9 qu’elle avait contact\u00e9 directement certains de ses clients pour modifier leurs param\u00e8tres afin de mettre fin \u00e0 l’efficacit\u00e9 de l’activit\u00e9 de spam par relais sortant.<\/p>\n

\u00ab Lorsque nous avons commenc\u00e9 \u00e0 bloquer l’activit\u00e9 du spammeur, celui-ci a acc\u00e9l\u00e9r\u00e9 ses tests et s’est rapidement tourn\u00e9 vers d’autres clients \u00bb, a soulign\u00e9 la soci\u00e9t\u00e9. \u00ab Nous avons mis en place un processus continu d’identification des clients concern\u00e9s chaque jour, en r\u00e9organisant les priorit\u00e9s de sensibilisation pour corriger les configurations. \u00bb<\/p>\n

Pour r\u00e9duire le spam, l’organisation exhorte les fournisseurs de VPS \u00e0 limiter la capacit\u00e9 de leurs utilisateurs \u00e0 envoyer de gros volumes de messages \u00e0 partir de serveurs SMTP h\u00e9berg\u00e9s sur leur infrastructure. Elle appelle \u00e9galement les fournisseurs de services de messagerie \u00e0 restreindre les capacit\u00e9s des locataires non v\u00e9rifi\u00e9s nouvellement cr\u00e9\u00e9s et en essai gratuit \u00e0 envoyer des messages sortants en masse, ainsi qu’\u00e0 les emp\u00eacher d’envoyer des messages usurpant un domaine dont ils n’ont pas prouv\u00e9 la propri\u00e9t\u00e9.<\/p>\n

\u00ab Pour les RSSI, le principal enseignement \u00e0 tirer de cette situation est de veiller particuli\u00e8rement \u00e0 la posture cloud de leur organisation, notamment en ce qui concerne l’utilisation de services tiers qui deviennent l’\u00e9pine dorsale des m\u00e9thodes de r\u00e9seau et de communication de votre entreprise \u00bb, a d\u00e9clar\u00e9 Tal. \u00ab En particulier dans le domaine des e-mails, maintenez toujours une boucle de r\u00e9troaction et un contr\u00f4le de votre propre chef, m\u00eame si vous faites enti\u00e8rement confiance \u00e0 votre fournisseur de messagerie. \u00bb<\/p>\n

\u00ab Quant aux autres entreprises qui fournissent ce type de services de base, tout comme Proofpoint, elles doivent \u00eatre vigilantes et proactives en r\u00e9fl\u00e9chissant \u00e0 tous les types de menaces possibles en premier lieu. Non seulement aux menaces qui affectent directement leurs clients, mais \u00e9galement au grand public.<\/p>\n

\u00ab C’est crucial pour notre s\u00e9curit\u00e9 \u00e0 tous, et les entreprises qui cr\u00e9ent et exploitent l’\u00e9pine dorsale d’Internet, m\u00eame si elles sont priv\u00e9es, en ont la plus grande responsabilit\u00e9. Comme quelqu’un l’a dit, dans un contexte totalement diff\u00e9rent mais tout \u00e0 fait pertinent ici : “De grands pouvoirs impliquent de grandes responsabilit\u00e9s”. \u00bb<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n