Des hackeurs chinois infiltrent des boîtes mails du gouvernement américain
-
Microsoft fait l’objet de critiques virulentes pour sa sécurité “extrêmement irresponsable”
Azure ressemble à un château de cartes qui s’effondre sous le poids des exploits et des vulnérabilités.
Microsoft a une fois de plus fait l’objet de critiques virulentes pour les pratiques de sécurité d’Azure et de ses autres offres cloud, le PDG de la société de sécurité Tenable déclarant que Microsoft est “extrêmement irresponsable” et embourbé dans une “culture d’obscurcissement toxique”.
Mercredi, Yoran s’est adressé à LinkedIn pour fustiger Microsoft pour ne pas avoir résolu ce que la société a déclaré lundi être un problème “critique” qui donne aux pirates un accès non autorisé aux données et aux applications gérées par Azure AD, une offre cloud de Microsoft pour gérer l’authentification des utilisateurs à l’intérieur de grandes organisations. La divulgation de lundi indiquait que la société avait informé Microsoft du problème en mars et que Microsoft avait signalé 16 semaines plus tard qu’il avait été résolu. Les chercheurs de Tenable ont déclaré à Microsoft que le correctif était incomplet. Microsoft a fixé la date de fourniture d’un correctif complet au 28 septembre.
“Pour vous donner une idée de la gravité de la situation, notre équipe a très rapidement découvert des secrets d’authentification auprès d’une banque”, a écrit Yoran. “Ils étaient tellement préoccupés par la gravité et l’éthique du problème que nous avons immédiatement informé Microsoft.” Il a continué:
Microsoft a-t-il rapidement résolu le problème qui pourrait effectivement conduire à la violation des réseaux et services de plusieurs clients ? Bien sûr que non. Il leur a fallu plus de 90 jours pour implémenter un correctif partiel, et uniquement pour les nouvelles applications chargées dans le service.
Un représentant de Microsoft a déclaré que Microsoft n’avait pas immédiatement fait de commentaire en réponse au message de Yoran. Répondant à la lettre de Wyden la semaine dernière, Microsoft a balayé les critiques en déclarant : « Cet incident démontre l’évolution des défis de la cybersécurité face aux attaques sophistiquées. Nous continuons à travailler directement avec les agences gouvernementales sur ce problème et maintenons notre engagement à continuer de partager des informations sur le blog Microsoft Threat Intelligence."
Tenable ne discute du problème qu’en termes généraux pour empêcher les pirates malveillants d’apprendre à l’exploiter activement dans la nature. Dans un e-mail, les responsables de l’entreprise ont déclaré : « Il existe une vulnérabilité qui permet d’accéder au moins à la structure Azure. Une fois les détails de cette vulnérabilité connus, l’exploitation est relativement triviale. C’est pour cette raison que nous retenons tous les détails techniques. Alors que le message de Yoran et la divulgation de Tenable évitent le mot vulnérabilité, l’e-mail indique que le terme est exact.
La publication est arrivée le jour même où la société de sécurité Sygnia a divulgué un ensemble de ce qu’elle a appelé des “vecteurs” qui pourraient être exploités après une violation réussie d’un compte Azure AD Connect. Les vecteurs permettent aux attaquants d’intercepter les informations d’identification via des attaques de type “man-in-the-middle” ou de voler des hachages cryptographiques de mots de passe en injectant un code malveillant dans un processus de synchronisation de hachage. L’injection de code pourrait également permettre aux attaquants d’obtenir une présence persistante à l’intérieur du compte avec une faible probabilité d’être détectés.
“La configuration par défaut expose les clients aux vecteurs décrits uniquement si un accès privilégié a été obtenu au serveur AD Connect”, a écrit Ilia Rabinovich, directeur des tactiques contradictoires chez Sygnia, dans un e-mail. “Par conséquent, un acteur menaçant doit effectuer des étapes préliminaires avant de poursuivre le processus d’exploitation des vecteurs.”
Tenable et Sygnia ont déclaré que les vulnérabilités ou les vecteurs de sécurité qu’ils ont divulgués n’étaient pas liés à la récente attaque contre les clients du cloud de Microsoft.
Défauts graves de cybersécurité
Dans la lettre de la semaine dernière aux chefs du ministère de la Justice, de la Federal Trade Commission et de la Cybersecurity and Infrastructure Security Agency, Wyden a accusé Microsoft d’avoir caché son rôle dans l’attaque de la chaîne d’approvisionnement de SolarWinds en 2020, que les pirates du Kremlin ont utilisée pour infecter 18 000 clients du réseau . logiciel de gestion. Un sous-ensemble de ces clients, dont neuf agences fédérales et 100 organisations, ont reçu des attaques de suivi qui ont violé leurs réseaux.
Le sénateur a ensuite blâmé Microsoft pour la récente violation massive des départements d’État et du Commerce et des autres clients d’Azure. Les défaillances spécifiques, a déclaré Wyden, incluaient Microsoft ayant “une seule clé squelette qui, lorsqu’elle est inévitablement volée, pourrait être utilisée pour falsifier l’accès aux communications privées de différents clients”. Il a également reproché à Microsoft d’avoir attendu cinq ans pour actualiser la clé de signature abusée lors des attaques, affirmant que les meilleures pratiques consistent à faire pivoter les clés plus fréquemment. Il a également critiqué l’entreprise pour avoir autorisé les jetons d’authentification signés par une clé expirée, comme ce fut le cas lors de l’attaque.
“Alors que les ingénieurs de Microsoft n’auraient jamais dû déployer de systèmes qui violaient de tels principes de cybersécurité de base, ces failles évidentes auraient dû être détectées par les audits de sécurité internes et externes de Microsoft”, a écrit Wyden. “Le fait que ces failles n’aient pas été détectées soulève des questions sur les autres défauts graves de cybersécurité que ces auditeurs ont également manqués.”
Dans le message de mercredi, Yoran a exprimé en grande partie les mêmes critiques.
“Ce que vous entendez de Microsoft, c’est” faites-nous confiance “, mais ce que vous obtenez en retour, c’est très peu de transparence et une culture d’obscurcissement toxique”, a-t-il écrit. « Comment un RSSI, un conseil d’administration ou une équipe de direction peut-il croire que Microsoft fera ce qu’il faut compte tenu des faits et des comportements actuels ? Les antécédents de Microsoft nous mettent tous en danger. Et c’est encore pire que ce que nous pensions.
-
La cyberattaque de Microsoft est plus grave qu’on ne le croit
Une master key volée et copiée
Il s’avère aujourd’hui que l’incident pourrait avoir des conséquences bien plus importantes qu’on ne le pensait initialement. L’entreprise de sécurité Wiz affirme avoir pu identifier la clé Microsoft qui a permis aux pirates d’espionner les comptes de messagerie à l’aide de listes de clés d’authentification disponibles publiquement.
La clé dérobée n’était pas une copie de token, mais un certificat de signature OpenID pour l’AAD. Une sorte de clé maîtresse pour le système cloud de Microsoft.
Selon le rapport de Wiz, les pirates n’avaient pas seulement un accès potentiel à Exchange Online, hébergé par Microsoft. Au contraire, ce groupe a eu accès à presque tous les domaines du cloud de Microsoft. C’est-à-dire Office, Teams, Sharepoint et Outlook. Et ce n’est pas tout. En effet, comme l’explique Wiz, la clé volée peut signer n’importe quel jeton d’accès OpenID. Donc théoriquement parlant, les pirates pourraient accéder à n’importe quelle application cloud dont l’authentification repose sur Azure Active Directory. Toutes entreprises confondues. Les comptes qui proposent une « authentification par Microsoft », comme GitHub, seraient également concernés.
Microsoft a certes bloqué la clé. Il ne devrait donc plus y avoir d’accès possible. Il n’est toutefois pas exclu qu’une porte dérobée ait été intégrée dans les comptes précédemment compromis, de sorte que cette clé ne soit plus nécessaire.
https://www.galaxus.ch/fr/page/la-cyberattaque-de-microsoft-est-plus-grave-quon-ne-le-croit-28959
Evitez de vous faire authentifier sur tous les sites par des tiers comme Microsoft, Google et j’en passe, un unique piratage comme celui-là ou un simple curieux dans le système et rien de ce qui est à vous n’est à l’abri.
-
Il va finir par arriver ce jour où un GAFAM se fera totalement hacker ou presque et ça sera un joli merdier.
-
Je n’aime pas beaucoup non plus la biométrie dans les smartphones, beaucoup d’applis importantes comme les banques se reposent trop dessus, un contournement d’empreintes et c’est aussi le désastre…
-
Raccoon Admin Seeder I.T Guy Windowsien Apple User Gamer GNU-Linux User Teama répondu à duJambon le dernière édition par
@duJambon l’empreinte a au moins le mérite d’être stockée localement et pas dans un cloud quelconque. Mais ça n’empêchera pas un voleur un peu trop barré de couper le doigt de la personne qu’il dépouille.
-
Même pas besoin d’aller jusque-là, un simple séquestration, ou même plus simple, un bon coup de bâton sur la cafetière dans un endroit tranquille…
-
V:\> █░░ On naît seul, on vit seul, on meurt seul ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW…░░░▒▒▒▓▒▒▒░░░
░░░░░░▓░░░░░░
▒▒▒▒▓▓▓▓▓▒▒▒▒
░░░░░░▓░░░░░░ -
@Violence Tu est une cible privilégiée, méfie toi de celui qui veut-être Calife à la place du Calife
-
Bon ba allez yolo, le password c’est 1234 et la clé du coffre est dans la commode dans une bible creusée.
Plus sérieusement, rien n’est infaillible mais plus on sécurise, plus on chiffre, plus on utilise le 2fa ou les clés asymétrique et tout ce que la techno nous offre et mieux c’est.
De toute façon, vu tous les hacks, le fishing, la surveillance de masse et j’en passe, les gens vont peut être commencer à comprendre que le net ce n’est pas la cour de récré et que la sécu et le chiffrement n’est pas une option mais une nécessité.
-
Microsoft explique enfin la cause de la faille Azure : le compte d’un ingénieur a été piraté
D’autres échecs en cours de route comprenaient une clé de signature apparaissant incorrectement dans un vidage sur incident.
Microsoft a déclaré que le compte professionnel de l’un de ses ingénieurs avait été piraté par un acteur malveillant hautement qualifié qui avait acquis une clé de signature utilisée pour pirater des dizaines de comptes Azure et Exchange appartenant à des utilisateurs de haut niveau.
Cette divulgation résout deux mystères au centre d’une divulgation faite par Microsoft en juillet . La société a déclaré que les pirates identifiés sous le nom de Storm-0558 étaient présents dans son réseau d’entreprise depuis plus d’un mois et avaient accédé aux comptes Azure et Exchange, dont plusieurs ont ensuite été identifiés comme appartenant aux départements d’État et du commerce des États-Unis. Storm-0558 a réussi l’exploit en obtenant une clé de signature de compte Microsoft expirée et en l’utilisant pour forger des jetons pour le service cloud Azure AD soi-disant fortifié de Microsoft.
Cette révélation a laissé sans réponse deux des questions les plus importantes. Plus précisément, comment un identifiant aussi sensible que la clé de signature du consommateur a-t-il été volé sur le réseau de Microsoft, et comment a-t-il pu signer des jetons pour Azure, qui repose sur une infrastructure totalement différente ?
Mercredi, Microsoft a finalement résolu les énigmes. Le compte professionnel d’un de ses ingénieurs avait été piraté. Storm-0558 a ensuite utilisé l’accès pour voler la clé. De telles clés, a déclaré Microsoft, sont confiées uniquement aux employés ayant subi une vérification des antécédents et uniquement lorsqu’ils utilisent des postes de travail dédiés protégés par une authentification multifacteur à l’aide de dispositifs à jetons matériels. Pour protéger cet environnement dédié, les outils de messagerie électronique, de conférence, de recherche sur le Web et autres outils de collaboration ne sont pas autorisés, car ils constituent les vecteurs les plus courants pour les attaques de logiciels malveillants et de phishing réussies. De plus, cet environnement est séparé du reste du réseau Microsoft, où les travailleurs ont accès au courrier électronique et à d’autres types d’outils.
Ces protections ont été rompues en avril 2021, plus de deux ans avant que Storm-0558 n’accède au réseau de Microsoft. Lorsqu’un poste de travail dans l’environnement de production dédié tombait en panne, Windows effectuait un « vidage sur incident » standard dans lequel toutes les données stockées en mémoire étaient écrites sur le disque afin que les ingénieurs puissent ultérieurement en diagnostiquer la cause. Le vidage sur incident a ensuite été déplacé vers l’environnement de débogage de Microsoft. Le piratage du compte d’entreprise d’un ingénieur Microsoft a permis à Storm-0558 d’accéder au vidage sur incident et, avec lui, à la clé de signature Exchange expirée.
Normalement, les vidages sur incident suppriment les clés de signature et les données tout aussi sensibles. Dans ce cas, cependant, une vulnérabilité jusqu’alors inconnue, connue sous le nom de « condition de concurrence critique », a empêché ce mécanisme de fonctionner correctement.
Les membres du Microsoft Security Response Center ont écrit :
Notre enquête a révélé qu’un crash du système de signature des consommateurs en avril 2021 a donné lieu à un instantané du processus bloqué (« crash dump »). Les vidages sur incident, qui suppriment les informations sensibles, ne doivent pas inclure la clé de signature. Dans ce cas, une condition de concurrence critique permettait à la clé d’être présente dans le vidage sur incident (ce problème a été corrigé). La présence du matériel clé dans le vidage sur incident n’a pas été détectée par nos systèmes (ce problème a été corrigé).
Nous avons constaté que ce vidage sur incident, censé à l’époque ne contenir aucun élément clé, avait ensuite été déplacé du réseau de production isolé vers notre environnement de débogage sur le réseau d’entreprise connecté à Internet. Ceci est cohérent avec nos processus de débogage standard. Nos méthodes d’analyse des informations d’identification n’ont pas détecté sa présence (ce problème a été corrigé).
Après avril 2021, lorsque la clé a été divulguée dans l’environnement de l’entreprise lors du crash dump, l’acteur de Storm-0558 a réussi à compromettre le compte d’entreprise d’un ingénieur Microsoft. Ce compte avait accès à l’environnement de débogage contenant le vidage sur incident qui contenait de manière incorrecte la clé. En raison des politiques de conservation des journaux, nous ne disposons pas de journaux contenant des preuves spécifiques de cette exfiltration par cet acteur, mais il s’agit du mécanisme le plus probable par lequel l’acteur a acquis la clé.
Répondant au deuxième mystère, l’article explique comment une clé de signature expirée pour un compte consommateur a été utilisée pour forger des jetons pour des offres d’entreprise sensibles. En 2018, Microsoft a introduit un nouveau framework fonctionnant avec les applications cloud grand public et d’entreprise. Des erreurs humaines ont empêché une interface de programmation conçue pour valider cryptographiquement l’environnement pour lequel une clé devait être utilisée, de fonctionner correctement.
Le message continuait :
Pour répondre à la demande croissante des clients en matière de prise en charge d’applications fonctionnant à la fois avec des applications grand public et d’entreprise, Microsoft a introduit un point de terminaison de publication de métadonnées clés communes en septembre 2018. Dans le cadre de cette offre convergente, Microsoft a mis à jour la documentation pour clarifier les exigences de validation de la portée clé (quelle clé est la clé). à utiliser pour les comptes d’entreprise et lesquels à utiliser pour les comptes de particuliers.
Dans le cadre d’une bibliothèque préexistante de documentation et d’API d’assistance, Microsoft a fourni une API pour aider à valider les signatures de manière cryptographique, mais n’a pas mis à jour ces bibliothèques pour effectuer automatiquement cette validation de portée (ce problème a été corrigé). Les systèmes de messagerie ont été mis à jour pour utiliser le point de terminaison de métadonnées commun en 2022. Les développeurs du système de messagerie ont supposé à tort que les bibliothèques effectuaient une validation complète et n’ont pas ajouté la validation d’émetteur/portée requise. Ainsi, le système de messagerie accepterait une demande de courrier électronique d’entreprise utilisant un jeton de sécurité signé avec la clé du consommateur (ce problème a été corrigé à l’aide des bibliothèques mises à jour).
Dans un e-mail, un représentant de Microsoft a déclaré que le compte de l’ingénieur avait été compromis à l’aide d’un « malware voleur de jetons », mais n’a pas précisé comment il avait été installé, si d’autres comptes d’entreprise étaient piratés par le même acteur malveillant, lorsque Microsoft a eu connaissance de la compromission. et quand l’entreprise a chassé les intrus.
À ces questions s’ajoutent les suivantes : une clé aussi sensible que celle acquise par Storm-0558 n’était-elle pas stockée dans un HSM (module matériel de sécurité) ? Il s’agit d’appareils dédiés qui stockent des informations importantes et sont conçus pour empêcher l’acquisition de clé de formulaire divulguée par Microsoft.
Dans l’e-mail, le représentant a déclaré que « les systèmes d’identité de l’entreprise gèrent les clés en utilisant une combinaison de protections HSM et logicielles en raison des exigences uniques d’échelle et de résilience de l’environnement cloud ». Cela n’explique toujours pas comment les attaquants ont réussi à extraire la clé d’un appareil spécialement conçu pour empêcher le vol.
Comme indiqué précédemment, Microsoft a fermement résisté à l’utilisation du mot vulnérabilité pour décrire les failles exploitées par Storm-0558 pour réaliser la brèche. Au lieu de cela, l’entreprise a utilisé le mot « problème ». Lorsqu’on lui a demandé d’expliquer quelle est la définition du « problème » donnée par Microsoft et en quoi elle diffère de la définition de la « vulnérabilité » donnée par l’entreprise, le représentant a répondu : « La vulnérabilité est un terme spécifique, et nous utiliserions le terme vulnérabilité s’il était approprié. Le « problème » dans le blog fait référence à des éléments tels qu’une mauvaise configuration, des erreurs de l’opérateur ou des sous-produits involontaires d’autres actions.
Will Dorman, analyste principal principal de la société de renseignement de sécurité Analysgence, a déclaré dans une interview en ligne :
Certains aspects pourraient être considérés comme des vulnérabilités :
—Une condition de concurrence critique a conduit à des éléments clés dans un vidage sur incident—Cela ressemble à une vulnérabilité
— “le système de messagerie accepterait une demande de courrier électronique d’entreprise à l’aide d’un jeton de sécurité signé avec la clé du consommateur” : il s’agit certainement d’une vulnérabilité
— « capable de compromettre avec succès le compte d’entreprise d’un ingénieur Microsoft » — Cela fait simplement partie de la vie dans ce monde, je suppose.
Microsoft a déclaré qu’environ 25 organisations ont vu un ou plusieurs de leurs comptes piratés au cours de la campagne, qui a débuté le 15 mai et a duré jusqu’au 16 juin. Microsoft n’était pas au courant du piratage massif jusqu’à ce qu’un client l’en informe.
Microsoft a décrit Storm-0558 comme un acteur menaçant basé en Chine dont les activités et les méthodes sont conformes aux objectifs d’espionnage. Le groupe cible un large éventail d’entités. Il s’agit notamment des organes directeurs diplomatiques, économiques et législatifs américains et européens, des individus liés aux intérêts géopolitiques de Taiwan et des Ouïghours, des sociétés de médias, des groupes de réflexion et des fournisseurs d’équipements et de services de télécommunications.
“Storm-0558 fonctionne avec un haut degré de savoir-faire technique et de sécurité opérationnelle”, a écrit Microsoft en juillet . « Les acteurs sont parfaitement conscients de l’environnement de la cible, des politiques de journalisation, des exigences d’authentification, des politiques et des procédures. L’activité d’outillage et de reconnaissance de Storm-0558 suggère que l’acteur est techniquement compétent, dispose de bonnes ressources et possède une compréhension approfondie de nombreuses techniques et applications d’authentification.
Parmi les critiques accusant Microsoft de ce qu’ils considèrent comme une négligence liée à la violation, citons un sénateur américain et un PDG de l’industrie. Ils ont critiqué à la fois les pratiques qui ont conduit au piratage et ce qu’ils ont qualifié de manque de transparence à la suite de celui-ci. La mise à jour de mercredi va un pas dans la bonne direction, mais l’entreprise a encore du travail à faire.
