{"id":831397,"date":"2023-07-15T05:33:53","date_gmt":"2023-07-15T07:33:53","guid":{"rendered":"https:\/\/teknomers.com\/fr\/un-bogue-microsoft-a-permis-aux-pirates-de-penetrer-dans-plus-de-deux-douzaines-dorganisations-via-des-jetons-azure-ad-forges\/"},"modified":"2023-07-15T05:33:56","modified_gmt":"2023-07-15T07:33:56","slug":"un-bogue-microsoft-a-permis-aux-pirates-de-penetrer-dans-plus-de-deux-douzaines-dorganisations-via-des-jetons-azure-ad-forges","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/un-bogue-microsoft-a-permis-aux-pirates-de-penetrer-dans-plus-de-deux-douzaines-dorganisations-via-des-jetons-azure-ad-forges\/","title":{"rendered":"Un bogue Microsoft a permis aux pirates de p\u00e9n\u00e9trer dans plus de deux douzaines d&#8217;organisations via des jetons Azure AD forg\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Cyberattaque \/ S\u00e9curit\u00e9 d&#8217;entreprise<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Microsoft a d\u00e9clar\u00e9 vendredi qu&#8217;une erreur de validation dans son code source permettait aux jetons Azure Active Directory (Azure AD) d&#8217;\u00eatre falsifi\u00e9s par un acteur malveillant connu sous le nom de Storm-0558 utilisant une cl\u00e9 de signature client Microsoft (MSA) pour violer deux douzaines d&#8217;organisations.<\/p>\n<p>&#8220;Storm-0558 a acquis une cl\u00e9 de signature client MSA inactive et l&#8217;a utilis\u00e9e pour forger des jetons d&#8217;authentification pour Azure AD entreprise et MSA consommateur pour acc\u00e9der \u00e0 OWA et Outlook.com&#8221;, a d\u00e9clar\u00e9 le g\u00e9ant de la technologie. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/07\/14\/analysis-of-storm-0558-techniques-for-unauthorized-email-access\/\" target=\"_blank\">a dit<\/a> dans une analyse plus approfondie de la campagne.  &#8220;La m\u00e9thode par laquelle l&#8217;acteur a acquis la cl\u00e9 fait l&#8217;objet d&#8217;une enqu\u00eate en cours.&#8221;<\/p>\n<p>&#8220;Bien que la cl\u00e9 ne soit destin\u00e9e qu&#8217;aux comptes MSA, un probl\u00e8me de validation a permis de faire confiance \u00e0 cette cl\u00e9 pour la signature des jetons Azure AD. Ce probl\u00e8me a \u00e9t\u00e9 corrig\u00e9.&#8221;<\/p>\n<p>Il n&#8217;est pas imm\u00e9diatement clair si le probl\u00e8me de validation de jeton a \u00e9t\u00e9 exploit\u00e9 comme une &#8220;vuln\u00e9rabilit\u00e9 du jour z\u00e9ro&#8221; ou si Microsoft \u00e9tait d\u00e9j\u00e0 au courant du probl\u00e8me avant qu&#8217;il ne fasse l&#8217;objet d&#8217;abus dans la nature.<\/p>\n<p>Les attaques ont cibl\u00e9 environ 25 organisations, y compris des entit\u00e9s gouvernementales et des comptes de consommateurs associ\u00e9s, pour obtenir un acc\u00e8s non autoris\u00e9 aux e-mails et exfiltrer les donn\u00e9es des bo\u00eetes aux lettres.  Aucun autre environnement n&#8217;aurait \u00e9t\u00e9 impact\u00e9.<\/p>\n<p>La port\u00e9e exacte de la violation reste incertaine, mais il s&#8217;agit du dernier exemple d&#8217;un acteur mena\u00e7ant bas\u00e9 en Chine menant des cyberattaques \u00e0 la recherche d&#8217;informations sensibles et r\u00e9ussissant un coup d&#8217;\u00c9tat furtif sans attirer l&#8217;attention pendant au moins un mois avant sa d\u00e9couverte en juin 2023.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>La soci\u00e9t\u00e9 a \u00e9t\u00e9 inform\u00e9e de l&#8217;incident apr\u00e8s que le d\u00e9partement d&#8217;\u00c9tat am\u00e9ricain a d\u00e9tect\u00e9 une activit\u00e9 de messagerie anormale li\u00e9e \u00e0 l&#8217;acc\u00e8s aux donn\u00e9es d&#8217;Exchange Online.  Storm-0558 est soup\u00e7onn\u00e9 d&#8217;\u00eatre un acteur mena\u00e7ant bas\u00e9 en Chine menant des cyberactivit\u00e9s malveillantes compatibles avec l&#8217;espionnage, bien que la Chine ait r\u00e9fut\u00e9 les all\u00e9gations.<\/p>\n<p>Les principales cibles de l&#8217;\u00e9quipe de piratage comprennent les organes directeurs diplomatiques, \u00e9conomiques et l\u00e9gislatifs am\u00e9ricains et europ\u00e9ens, et les personnes li\u00e9es aux int\u00e9r\u00eats g\u00e9opolitiques de Ta\u00efwan et des Ou\u00efghours, ainsi que les soci\u00e9t\u00e9s de m\u00e9dias, les groupes de r\u00e9flexion et les fournisseurs d&#8217;\u00e9quipements et de services de t\u00e9l\u00e9communications.<\/p>\n<p>On dit qu&#8217;il est actif depuis au moins ao\u00fbt 2021, orchestrant la collecte d&#8217;informations d&#8217;identification, les campagnes de phishing et les attaques de jetons OAuth visant les comptes Microsoft pour poursuivre ses objectifs.<\/p>\n<p>&#8220;Storm-0558 fonctionne avec un degr\u00e9 \u00e9lev\u00e9 d&#8217;artisanat technique et de s\u00e9curit\u00e9 op\u00e9rationnelle&#8221;, a d\u00e9clar\u00e9 Microsoft, le d\u00e9crivant comme techniquement comp\u00e9tent, disposant de ressources suffisantes et ayant une compr\u00e9hension aigu\u00eb des diverses techniques et applications d&#8217;authentification.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1689406433_508_Un-bogue-Microsoft-a-permis-aux-pirates-de-penetrer-dans.jpg\" alt=\"Microsoft\" border=\"0\" data-original-height=\"521\" data-original-width=\"728\" title=\"Microsoft\"\/><\/div>\n<p>&#8220;Les acteurs sont parfaitement conscients de l&#8217;environnement de la cible, des politiques de journalisation, des exigences d&#8217;authentification, des politiques et des proc\u00e9dures.&#8221;<\/p>\n<p>L&#8217;acc\u00e8s initial aux r\u00e9seaux cibles est r\u00e9alis\u00e9 par le biais de l&#8217;hame\u00e7onnage et de l&#8217;exploitation des failles de s\u00e9curit\u00e9 dans les applications destin\u00e9es au public, conduisant au d\u00e9ploiement du shell Web China Chopper pour l&#8217;acc\u00e8s par porte d\u00e9rob\u00e9e et d&#8217;un outil appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/wdsi\/threats\/threat-search?query=Cigril\" target=\"_blank\">Cigril<\/a> pour faciliter le vol d&#8217;identifiants.<\/p>\n<p>Storm-0558 utilise \u00e9galement des scripts PowerShell et Python pour extraire des donn\u00e9es de courrier \u00e9lectronique telles que des pi\u00e8ces jointes, des informations de dossier et des conversations enti\u00e8res \u00e0 l&#8217;aide d&#8217;appels d&#8217;API Outlook Web Access (OWA).<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>Microsoft a d\u00e9clar\u00e9 que depuis la d\u00e9couverte de la campagne le 16 juin 2023, il a &#8220;identifi\u00e9 la cause premi\u00e8re, \u00e9tabli un suivi durable de la campagne, perturb\u00e9 les activit\u00e9s malveillantes, renforc\u00e9 l&#8217;environnement, inform\u00e9 chaque client impact\u00e9 et coordonn\u00e9 avec plusieurs entit\u00e9s gouvernementales&#8221;.  Il a \u00e9galement not\u00e9 qu&#8217;il avait att\u00e9nu\u00e9 le probl\u00e8me &#8220;au nom des clients&#8221; \u00e0 compter du 26 juin 2023.<\/p>\n<p>La divulgation intervient alors que Microsoft a <a rel=\"nofollow noopener\" href=\"https:\/\/cyberscoop.com\/microsoft-china-hacking-state\/\" target=\"_blank\">fait face<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.wsj.com\/articles\/china-hacking-was-undetectable-for-some-who-had-less-expensive-microsoft-services-58730629\" target=\"_blank\">critique<\/a> pour sa gestion du piratage et pour avoir bloqu\u00e9 des capacit\u00e9s m\u00e9dico-l\u00e9gales derri\u00e8re des barri\u00e8res de licence suppl\u00e9mentaires, emp\u00eachant ainsi les clients d&#8217;acc\u00e9der \u00e0 des journaux d&#8217;audit d\u00e9taill\u00e9s qui auraient autrement pu aider \u00e0 analyser l&#8217;incident.<\/p>\n<p>&#8220;Faire payer aux gens des fonctionnalit\u00e9s premium n\u00e9cessaires pour ne pas se faire pirater, c&#8217;est comme vendre une voiture et ensuite facturer un suppl\u00e9ment pour les ceintures de s\u00e9curit\u00e9 et les airbags&#8221;, a d\u00e9clar\u00e9 le s\u00e9nateur am\u00e9ricain Ron Wyden. <a rel=\"nofollow noopener\" href=\"https:\/\/www.reuters.com\/technology\/microsoft-under-fire-after-hacks-us-state-commerce-departments-2023-07-13\/\" target=\"_blank\">cit\u00e9<\/a> comme dit.<\/p>\n<p>Le d\u00e9veloppement intervient alors que le comit\u00e9 parlementaire du renseignement et de la s\u00e9curit\u00e9 (ISC) du Royaume-Uni <a rel=\"nofollow noopener\" href=\"https:\/\/isc.independent.gov.uk\/publications\/\" target=\"_blank\">publi\u00e9<\/a> un rapport d\u00e9taill\u00e9 sur la Chine, \u00e9voquant sa &#8220;capacit\u00e9 de cyberespionnage hautement efficace&#8221; et sa capacit\u00e9 \u00e0 p\u00e9n\u00e9trer dans un large \u00e9ventail de syst\u00e8mes informatiques du gouvernement \u00e9tranger et du secteur priv\u00e9.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/microsoft-bug-allowed-hackers-to-breach.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 juil. 2023\ue804THNCyberattaque \/ S\u00e9curit\u00e9 d&#8217;entreprise Microsoft a d\u00e9clar\u00e9 vendredi qu&#8217;une erreur de validation dans son code source permettait aux jetons Azure Active Directory (Azure AD) d&#8217;\u00eatre falsifi\u00e9s par un acteur malveillant connu sous le nom de Storm-0558 utilisant une cl\u00e9 de signature client Microsoft (MSA) pour violer deux douzaines d&#8217;organisations. &#8220;Storm-0558 a acquis une [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":831398,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[507,21082,6813,4168,4158,4165,4161,429,133,245,50439,134842,72752,50440,4157,4159,4171,4170,4167,8362,4160,4163,4162,21231,10295,4394,4172,4169,4166,4164],"class_list":["post-831397","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aux","tag-azure","tag-bogue","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-des","tag-deux","tag-dorganisations","tag-douzaines","tag-forges","tag-jetons","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-penetrer","tag-permis","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/831397","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=831397"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/831397\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/831398"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=831397"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=831397"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=831397"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}