Le Microsoft Threat Intelligence Center (MSTIC), la division chargée de surveiller les menaces informatiques, indique avoir découvert qu’un gang de pirates russes s’attaque massivement à des comptes Microsoft 365. Les cybercriminels font partie d’un groupe, évoqué sous le nom de code Storm-237, qui est probablement mandaté par la Russie.
Pour piéger les utilisateurs, les hackers s’appuient sur des messages de phishing. Ils contactent leur cible sur WhatsApp, Signal ou encore Microsoft Teams en se faisant passer pour « une personne importante et pertinente » pour leur interlocuteur. C’est une stratégie classique qui permet d’endormir la méfiance de la victime. Par exemple, ils se font passer pour un contact professionnel qui invite l’utilisateur à une visioconférence.
À lire aussi : une vague de cyberattaques frappe « des centaines d’organisations » sur Microsoft Teams
Une attaque de phishing bien particulière
Pour rejoindre la conférence, la victime sera invitée à une réunion sur Microsoft Teams par le bien d’un lien cliquable. Il s’agit d’une « page de connexion légitime » qui va réclamer un code d’autorisation à la cible. En effet, le site de phishing va réclamer un code au lieu des habituels identifiants de connexion, comme le mot de passe. Dans ce type d’offensive, le pirate exploite le système d’authentification prévu pour les périphériques à entrée restreinte, des appareils qui ne disposent pas d’une interface classique de saisie, comme un clavier ou un navigateur web. On pense notamment à des télévisions ou à d’autres objets connectés.
Pour ces appareils, l’authentification passe plutôt par un code d’autorisation sur un autre terminal. Au lieu de taper un mot de passe directement sur l’appareil, l’utilisateur saisit le code de sécurité sur un autre appareil, comme un smartphone ou un ordinateur, pour prouver son identité. En l’occurrence, le code est directement fourni par le pirate dans l’invitation. En exploitant ce système alternatif, les cybercriminels prennent le contrôle du compte Microsoft sans avoir à obtenir de mot de passe.
« Lorsque les cibles cliquent sur l’invitation à la réunion, elles sont invitées à s’authentifier en utilisant un code d’appareil généré par l’attaquant. L’attaquant reçoit alors le jeton d’accès valide suite à l’interaction de l’utilisateur, ce qui lui permet de voler la session authentifiée », détaille Microsoft.
Un accès prolongé aux comptes piratés
L’attaquant peut utiliser les jetons d’authentification volés pour accéder à d’autres services, comme sa messagerie ou son service stockage en ligne, sans avoir besoin du mot de passe. Tant que ces jetons restent valides, l’attaquant conserve l’accès. Par ailleurs, le pirate peut obtenir un jeton de rafraîchissement principal, ce qui lui permettra de prolonger l’accès, en s’emparant de l’ID client spécifique, une identité unique utilisée dans le processus d’authentification de Microsoft.
Parmi les cibles privilégiées du gang, on trouve « les gouvernements, les ONG et un large éventail d’industries dans plusieurs régions » du monde, à savoir l’Amérique du Nord, l’Afrique et le Moyen-Orient. Microsoft recommande aux organisations susceptibles de se retrouver dans le viseur des pirates de bloquer l’utilisation de code d’autorisation. Cette précaution va empêcher les pirates de s’appuyer sur le système pour arriver à leurs fins. Elle incombe évidemment aux administrateurs des espaces Microsoft.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Microsoft
