A cause d’une faille dans les services Microsoft, des pirates ont pu espionner 25 comptes Outlook
Des cybercriminels sont parvenus à pirater 25 comptes de messagerie associés à des agences gouvernementales en exploitant une faille de sécurité dans les services de Microsoft. Que s'est-il passé ?
Surnommé Storm-0558 par Microsoft, ce groupe de cybercriminels associé à la Chine est spécialisé dans l'espionnage et la collecte de renseignements. Pendant un mois, à savoir du 15 mai 2023 au 16 juin 2023, les pirates ont pu avoir un accès complet à 25 comptes de messagerie, via Outlook Web Access. Ceci signifie que sur cette période les cybercriminels ont eu accès à l'ensemble des e-mails échangés avec ces adresses e-mails. Sur son site, Microsoft précise : "Nous avons déterminé que Storm-0558 accédait aux données Exchange Online du client en utilisant Outlook Web Access (OWA). - Le groupe de cybercriminels a exploité ces accès avec un ensemble de scripts Python et PowerShell pour collecter les e-mails et les pièces jointes des boites aux lettres compromises.
Ces 25 comptes correspondant à des agences gouvernementales de pays d'Europe et des États-Unis ! Du côté des États-Unis, il s'agirait d'un compte de l'État et des comptes du ministère du Commerce. Les comptes liés à l'armée et aux services de renseignement ne sont pas impactés d'après le Washington Post. C'est suite à une alerte du gouvernement américain que Microsoft s'est penché sur cet incident de sécurité. Étant donné que les États-Unis font tout pour ne pas exporter les technologies américaines vers la Chine, on peut imaginer que les pirates cherchaient des informations à ce sujet.
Une vulnérabilité dans les services de Microsoft
Dans un premier temps, Microsoft a pensé que cet incident était lié à un malware : une machine infectée sur laquelle le malware a été utilisé pour voler les jetons d'authentification aux services Microsoft.
Puis, dans un second temps, l'enquête menée par Microsoft a permis de mettre la main sur une autre méthode utilisée par les cybercriminels. En effet, ils ont pu mettre la main sur une clé de signature d'un compte Microsoft dans le but de construire leur propre jeton d'authentification Azure AD et de compromettre les comptes de messagerie. L'entreprise américaine précise : "Cette opération a été rendue possible par une erreur de validation dans le code Microsoft."
Désormais, Microsoft a fait le nécessaire pour combler cette faille de sécurité et bloquer l'utilisation des jetons émis avec cette clé de signature. Les pirates n'étant plus en mesure d'utiliser cette technique, ils se tournent vers d'autres méthodes : "Aucune activité d'acteur liée aux clés n'a été observée depuis que Microsoft a invalidé la clé de signature MSA acquise par l'acteur. De plus, nous avons vu Storm-0558 passer à d'autres techniques, ce qui indique que l'acteur n'est pas en mesure d'utiliser ou d'accéder à des clés de signature."
