{"id":585613,"date":"2023-02-01T06:03:45","date_gmt":"2023-02-01T08:03:45","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-ont-abuse-de-microsoft-editeur-verifie-applications-oauth-pour-violer-les-comptes-de-messagerie-dentreprise\/"},"modified":"2023-02-01T06:03:47","modified_gmt":"2023-02-01T08:03:47","slug":"les-pirates-ont-abuse-de-microsoft-editeur-verifie-applications-oauth-pour-violer-les-comptes-de-messagerie-dentreprise","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-ont-abuse-de-microsoft-editeur-verifie-applications-oauth-pour-violer-les-comptes-de-messagerie-dentreprise\/","title":{"rendered":"Les pirates ont abus\u00e9 de Microsoft &quot;\u00c9diteur v\u00e9rifi\u00e9&quot; Applications OAuth pour violer les comptes de messagerie d&#8217;entreprise"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">01 f\u00e9vrier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 d&#8217;entreprise \/ Authentification<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Microsoft a annonc\u00e9 mardi avoir pris des mesures pour d\u00e9sactiver les faux comptes Microsoft Partner Network (MPN) utilis\u00e9s pour cr\u00e9er des programmes malveillants. <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/OAuth\" target=\"_blank\">OAuth<\/a> applications dans le cadre d&#8217;une campagne malveillante con\u00e7ue pour violer les environnements cloud des organisations et voler des e-mails.<\/p>\n<p>&#8220;Les applications cr\u00e9\u00e9es par ces acteurs frauduleux ont ensuite \u00e9t\u00e9 utilis\u00e9es dans une campagne de phishing par consentement, qui a incit\u00e9 les utilisateurs \u00e0 accorder des autorisations aux applications frauduleuses&#8221;, a d\u00e9clar\u00e9 le g\u00e9ant de la technologie. <a rel=\"nofollow noopener\" href=\"https:\/\/msrc-blog.microsoft.com\/2023\/01\/31\/threat-actor-consent-phishing-campaign-abusing-the-verified-publisher-process\/\" target=\"_blank\">m&#8217;a dit<\/a>.  &#8220;Cette campagne de phishing ciblait un sous-ensemble de clients principalement bas\u00e9s au Royaume-Uni et en Irlande.&#8221;<\/p>\n<p>L&#8217;hame\u00e7onnage par consentement est un <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/active-directory\/manage-apps\/protect-against-consent-phishing\" target=\"_blank\">attaque d&#8217;ing\u00e9nierie sociale<\/a> o\u00f9 les utilisateurs sont amen\u00e9s \u00e0 accorder des autorisations \u00e0 des applications cloud malveillantes, qui peuvent ensuite \u00eatre militaris\u00e9es pour acc\u00e9der \u00e0 des services cloud l\u00e9gitimes et \u00e0 des donn\u00e9es utilisateur sensibles.<\/p>\n<p>Le fabricant de Windows a d\u00e9clar\u00e9 avoir pris connaissance de la campagne le 15 d\u00e9cembre 2022. Il a depuis alert\u00e9 les clients concern\u00e9s par e-mail, la soci\u00e9t\u00e9 notant que les acteurs de la menace ont abus\u00e9 du consentement pour exfiltrer les bo\u00eetes aux lettres.<\/p>\n<p>En plus de cela, Microsoft a d\u00e9clar\u00e9 avoir mis en place des mesures de s\u00e9curit\u00e9 suppl\u00e9mentaires pour am\u00e9liorer le processus de v\u00e9rification associ\u00e9 au <a rel=\"nofollow noopener\" href=\"https:\/\/partner.microsoft.com\/\" target=\"_blank\">Programme de partenariat Microsoft Cloud<\/a> (anciennement MPN) et minimiser le potentiel de fraude \u00e0 l&#8217;avenir.<\/p>\n<p>La divulgation co\u00efncide avec un rapport <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/cloud-security\/dangerous-consequences-threat-actors-abusing-microsofts-verified-publisher\" target=\"_blank\">lib\u00e9r\u00e9<\/a> par Proofpoint sur la fa\u00e7on dont les pirates ont exploit\u00e9 avec succ\u00e8s &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/active-directory\/develop\/publisher-verification-overview\" target=\"_blank\">\u00e9diteur v\u00e9rifi\u00e9<\/a>&#8221; statut pour infiltrer les environnements cloud des organisations.<\/p>\n<p>Ce qui est remarquable \u00e0 propos de la campagne, c&#8217;est qu&#8217;en imitant les marques populaires, elle a \u00e9galement r\u00e9ussi \u00e0 tromper Microsoft afin d&#8217;obtenir le badge bleu v\u00e9rifi\u00e9.  &#8220;L&#8217;acteur a utilis\u00e9 des comptes partenaires frauduleux pour ajouter un \u00e9diteur v\u00e9rifi\u00e9 aux enregistrements d&#8217;applications OAuth qu&#8217;ils ont cr\u00e9\u00e9s dans Azure AD&#8221;, a expliqu\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>Ces attaques, qui ont \u00e9t\u00e9 observ\u00e9es pour la premi\u00e8re fois le 6 d\u00e9cembre 2022, utilisaient des versions similaires d&#8217;applications l\u00e9gitimes comme Zoom pour tromper les cibles en autorisant l&#8217;acc\u00e8s et faciliter le vol de donn\u00e9es.  Les cibles comprenaient les finances, le marketing, les gestionnaires et les cadres sup\u00e9rieurs.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1675238625_565_Les-pirates-ont-abuse-de-Microsoft-quotEditeur-verifiequot-Applications-OAuth.png\" alt=\"Piratage des applications Microsoft OAuth\" border=\"0\" data-original-height=\"336\" data-original-width=\"728\" title=\"Piratage des applications Microsoft OAuth\"\/><\/div>\n<p>Proofpoint a not\u00e9 que les applications OAuth malveillantes avaient des &#8220;autorisations d\u00e9l\u00e9gu\u00e9es \u00e9tendues&#8221; telles que la lecture des e-mails, l&#8217;ajustement des param\u00e8tres de la bo\u00eete aux lettres et l&#8217;acc\u00e8s aux fichiers et autres donn\u00e9es connect\u00e9s au compte de l&#8217;utilisateur.<\/p>\n<p>Il a \u00e9galement dit que contrairement \u00e0 un <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/email-and-cloud-threats\/how-attackers-use-compromised-accounts-create-and-distribute-malicious\" target=\"_blank\">campagne pr\u00e9c\u00e9dente<\/a> qui ont compromis les \u00e9diteurs v\u00e9rifi\u00e9s par Microsoft existants pour tirer parti des privil\u00e8ges des applications OAuth, les derni\u00e8res attaques sont con\u00e7ues pour se faire passer pour des \u00e9diteurs l\u00e9gitimes afin qu&#8217;ils soient v\u00e9rifi\u00e9s et distribuent les applications malveillantes.<\/p>\n<p>Deux des applications en question ont \u00e9t\u00e9 nomm\u00e9es &#8220;Single Sign-on (SSO)&#8221;, tandis que la troisi\u00e8me application s&#8217;appelait &#8220;Meeting&#8221; dans une tentative de se faire passer pour un logiciel de visioconf\u00e9rence.  Les trois applications, cr\u00e9\u00e9es par trois \u00e9diteurs diff\u00e9rents, ciblaient les m\u00eames entreprises et exploitaient la m\u00eame infrastructure contr\u00f4l\u00e9e par les attaquants.<\/p>\n<p>&#8220;L&#8217;impact potentiel sur les organisations comprend les comptes d&#8217;utilisateurs compromis, l&#8217;exfiltration de donn\u00e9es, l&#8217;abus de marque d&#8217;organisations usurp\u00e9es, la fraude par compromission des e-mails professionnels (BEC) et l&#8217;abus de bo\u00eetes aux lettres&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise.<\/p>\n<p>La campagne aurait pris fin le 27 d\u00e9cembre 2022, apr\u00e8s que Proofpoint a inform\u00e9 Microsoft de l&#8217;attaque du 20 d\u00e9cembre et que les applications ont \u00e9t\u00e9 d\u00e9sactiv\u00e9es.<\/p>\n<p>Les r\u00e9sultats d\u00e9montrent la sophistication qui a \u00e9t\u00e9 n\u00e9cessaire pour monter l&#8217;attaque, sans parler du contournement des protections de s\u00e9curit\u00e9 de Microsoft et de l&#8217;abus de la confiance que les utilisateurs placent dans les fournisseurs et les fournisseurs de services de l&#8217;entreprise.<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que de fausses applications OAuth sont utilis\u00e9es pour cibler les services cloud de Microsoft.  En janvier 2022, Proofpoint a d\u00e9taill\u00e9 une autre activit\u00e9 de menace appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/cloud-security\/oivavoii-active-malicious-hybrid-cloud-threats-campaign\" target=\"_blank\">OiVaVoii<\/a> qui visaient des cadres de haut niveau pour prendre le contr\u00f4le de leurs comptes.<\/p>\n<p>Puis, en septembre 2022, Microsoft a r\u00e9v\u00e9l\u00e9 avoir d\u00e9mantel\u00e9 une attaque qui utilisait des applications OAuth malveillantes d\u00e9ploy\u00e9es sur des locataires cloud compromis pour finalement prendre le contr\u00f4le des serveurs Exchange et distribuer du spam.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/hackers-abused-microsofts-verified.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80201 f\u00e9vrier 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 d&#8217;entreprise \/ Authentification Microsoft a annonc\u00e9 mardi avoir pris des mesures pour d\u00e9sactiver les faux comptes Microsoft Partner Network (MPN) utilis\u00e9s pour cr\u00e9er des programmes malveillants. OAuth applications dans le cadre d&#8217;une campagne malveillante con\u00e7ue pour violer les environnements cloud des organisations et voler des e-mails. &#8220;Les applications cr\u00e9\u00e9es par ces [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":585614,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[10785,8361,4168,4493,4158,4165,4161,3482,4157,4159,4171,4170,65,4167,6817,8362,4160,4163,4162,50441,249,4394,185,142777,4172,4169,142778,4166,2705,4164],"class_list":["post-585613","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-abuse","tag-applications","tag-comment-pirater","tag-comptes","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dentreprise","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-messagerie","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-oauth","tag-ont","tag-pirates","tag-pour","tag-quotediteur","tag-securite-informatique","tag-securite-internet","tag-verifiequot","tag-violation-de-donnees","tag-violer","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/585613","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=585613"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/585613\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/585614"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=585613"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=585613"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=585613"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}