Une hygiène insuffisante dans la gestion des identités à l'origine d'une attaque contre Microsoft commanditée par un État-nation

La dernière violation subie par Microsoft prouve une nouvelle fois que la détection et la réponse aux incidents ne suffisent pas. La source d'une attaque étant quasiment toujours la conséquence d'une seule négligence en matière d'autorisation utilisateur, il est devenu crucial que les entreprises adoptent une sécurité préventive.

Le 19 janvier, Microsoft a annoncé avoir subi une violation via Entra ID (anciennement Azure AD) par un attaquant de type État-nation nommé Midnight Blizzard. Microsoft a partagé certaines informations au sujet de cette attaque, comme les tactiques, les techniques et les procédures impliquées (TTP) ainsi que des conseils pour les spécialistes de la réponse aux incidents. Les entreprises ont souvent tendance à rester floues vis-à-vis de certains détails dans le but de conserver un niveau de confidentialité sur leur environnement interne et de minimiser les dommages à l'encontre de leur réputation. Pourtant, Microsoft a levé le voile sur un certain nombre d'éléments afin d'aider à comprendre l'objet de l'exploitation menée par Midnight Blizzard afin de s'introduire dans l'environnement d'entreprise de Microsoft.

Ce qui frappe dans cette intrusion est le besoin urgent de plus gros efforts en termes de sécurité préventive pour réduire le risque créé par un manque d'hygiène au niveau de l'identité. Des identités négligées, des autorisations excessives et de mauvaises configurations peuvent avoir de graves conséquences, et ce en dépit d'outils et de fonctionnalités de détection et de réponse sophistiqués. Tenable Identity Exposure permet d'identifier les vulnérabilités que des attaques telles que celle-ci peuvent exploiter, comme :

• La détection d'une authentification multifacteur (MFA) manquante 
• Des autorisations d'API laxistes
• Une analyse des comptes administrateur

Mais revenons brièvement aux faits.

Alors que Microsoft a mis en évidence de nombreuses étapes lors de l'attaque, il est clair que celle-ci a exploité des failles tout à fait courantes, parmi lesquelles une hygiène de mot de passe trop faible, un manque de MFA, des autorisations excessives et des rôles Entra privilégiés.

La phase d'accès initial de cette attaque a été une simple pulvérisation de mot de passe (password spraying), une technique utilisée par un attaquant pour cibler des identités dotées de mots de passe faibles ou compromis. L'attaque initiale a été dirigée contre un environnement de non production et Midnight Blizzard a pris suffisamment de précaution pour n'éveiller aucun soupçon de détection. Comme l'a expliqué Microsoft : « L'attaquant a adapté ses attaques par pulvérisation de mot de passe sur un nombre limité de comptes, avec un nombre de tentatives faible pour éviter toute détection (...), et les a lancées depuis un compte d'infrastruture de proxy résidentiel distribué (...) sur lequel aucune authentification multifacteur n'avait été activée. »

Une authentification multifacteur associée à ce compte, même dans un environnement de non production, aurait pu empêcher l'attaque par pulvérisation d'atteindre sa cible. Au pire, elle aurait entravé la fluidité de l'attaque et de ce fait, aurait facilité sa détection.

Ensuite, les attaquants se sont déplacés de l'environnement de test vers l'environnement de production de l'entreprise en exploitant des autorisations d'API Microsoft Graph excessives. Bien que l'application était bien enregistrée dans le tenant de test de Microsoft, des autorisations d'API Graph trop permissives ont été fournies à l'identité correspondante dans son tenant de production d'entreprise.

Les attaquants ont obtenu accès aux boîtes aux lettres de dirigeants clés de Microsoft pendant plus de deux mois.

Cela a permis aux attaquants de compromettre l'enregistrement de l'application et de se déplacer jusqu'au tenant de production via l'identité de service correspspondant. Après avoir obtenu l'accès à l'environnement d'entreprise de Microsoft, ils ont accordé l'autorisation d'API « full_access_as_app » d'Office 365 Exchange Online aux nouvelles applications malveillantes qu'ils avaient créées, afin de gagner l'accès à ces messageries clés pendant plus de deux mois.

Les autorisations d'API accordent souvent un accès doté de ramifications difficiles à dénouer et l'API Microsoft Graph est connue pour être particulièrement complexe à appréhender. Il se pourrait même que Microsoft ait été victime de sa propre complexité. Ce manque d'hygiène à l'égard des identités a clairement bénéficié aux attaquants pour s'infiltrer dans l'environnement de production de Microsoft et obtenir l'accès à des communications d'entreprise sensibles.

Il semble évident qu'une évaluation et une compréhension en continu des risques liés aux identités sont essentielles pour apporter une remédiation pertinente et réduire la surface d'attaque avant toute incursion. Bien que Microsoft fournisse de nombreux outils et services pour détecter et bloquer des attaques, les violations les plus sophistiquées sont bien souvent dues à de petites négligences au sein d'un même compte ou autorisation. Le défi lié à une réduction préventive de la surface d'attaque des identités est amplifié par sa nature versatile et par un besoin continu d'évaluer le risque.

Tenable Identity Exposure valide en continu la posture de sécurité des systèmes d'identité Microsoft et priorise les identités, les autorisations et les configurations à risque afin de réduire instantanément la surface d'attaque.

Tenable fournit quatre indicateurs d'exposition (IoE) spécifiques pour aider à prévenir ce type d'attaques. Tenable Identity Exposure fait appel à deux indicateurs d'exposition liés à l'identité qui permettent aux clients d'identifier les comptes exposés à cause d'un manque d'authentification multifacteur. Ces indicateurs d'exposition aident à découvrir les comptes Microsoft Entra ID dépourvus de méthode d'authentification multifacteur enregistrée, lesquels sont souvent exploités par des attaques par pulvérisation de mot de passe :

• MFA manquante pour les comptes avec privilèges
• MFA manquante pour les comptes sans privilèges

Identity Exposure possède également deux indicateurs d'exposition qui permettent de découvrir et d'analyser des rôles Microsoft Entra et des autorisations de l’API Microsoft Graph dangereux, de sorte que ces vecteurs d'attaque puissent être éliminés avant qu'une attaque ne se produise.

• Autorisations d'API laxistes affectant le tenant
• Trop grand nombre d'administrateurs

Une fois ces IoE activés, Identity Exposure valide en continu différents aspects critiques et souvent négligés des systèmes d'identité Microsoft. Tenable dévoile aussi les identités les plus à risque et fournit des conseils pas à pas pour leur remédiation. Les tactiques employées par Midnight Blizzard sont un exemple frappant des types de risques liés aux identités et des chemins d'attaque que Tenable Identity Exposure parvient à éliminer afin de bloquer une attaque.

Pour plus d’informations sur la façon dont Tenable Identity Exposure aide à réduire la surface d'attaque de votre environnement d'identité Microsoft, demandez une démo ou téléchargez notre fiche technique sur Tenable Identity Exposure.