Selon Microsoft, les acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d’automatisation d’authentification.
“Les acteurs malveillants compromettent les comptes d’utilisateurs pour créer, modifier et accorder des privilèges élevés aux applications OAuth qu’ils peuvent utiliser à mauvais escient pour cacher des activités malveillantes”, a déclaré la société dans un blog cette semaine. « L’utilisation abusive d’OAuth permet également aux auteurs de menaces de conserver l’accès aux applications même s’ils perdent l’accès au compte initialement compromis. »
Les acteurs malveillants lancent des attaques de phishing ou de pulvérisation de mots de passe pour compromettre les comptes d’utilisateurs qui ne disposent pas de mécanismes d’authentification forts et ne disposent pas des autorisations nécessaires pour créer ou modifier des applications OAuth. Les attaquants utilisent à mauvais escient les applications OAuth avec des autorisations à privilèges élevés pour déployer des machines virtuelles (VM) pour l’extraction de crypto-monnaie, établir la persistance suite à une compromission de la messagerie professionnelle (BEC) et lancer une activité de spam en utilisant les ressources et le nom de domaine de l’organisation ciblée.
Les responsables informatiques doivent prendre les mesures suivantes pour atténuer les abus d’OAuth :
— mettre en œuvre des pratiques de sécurité qui renforcent les informations d’identification du compte, telles que l’activation de l’authentification multifacteur. Cela réduit considérablement les risques d’attaque, affirme Microsoft ;
— pour se protéger contre les attaques qui exploitent des informations d’identification volées, activez des politiques d’accès conditionnelles basées sur les risques ;
— assurez-vous que l’évaluation continue des accès est activée si elle est disponible dans votre environnement ;
— activer tous les paramètres de sécurité par défaut dans les plateformes d’identité ;
— auditez toutes les applications et les autorisations accordées pour garantir que les applications accèdent uniquement aux données nécessaires et adhèrent aux principes d’accès au moindre privilège.
Le rapport donne un exemple de ce que fait un acteur malveillant, que Microsoft surnomme Storm-1283. (Dans le cadre de la nouvelle taxonomie de dénomination de Microsoft, les groupes baptisés « Storm » sont nouvellement découverts ou en cours de développement.)
Storm-1283 a utilisé un compte utilisateur compromis pour créer une application OAuth et déployer des machines virtuelles pour le cryptomining. Le compte compromis a permis à l’attaquant de se connecter via un VPN, de créer une nouvelle application OAuth à locataire unique dans Microsoft Entra ID nommée de la même manière que le nom de domaine du locataire Microsoft Entra ID et d’ajouter un ensemble de secrets à l’application.
Comme le compte compromis avait un rôle de propriétaire sur un abonnement Azure, l’acteur a également accordé ‘Autorisation du rôle de contributeur pour l’application sur l’un des abonnements actifs utilisant le compte compromis.
L’attaquant a également exploité les applications OAuth métier existantes auxquelles le compte utilisateur compromis avait accès dans le locataire en ajoutant un ensemble supplémentaire d’informations d’identification à ces applications, indique le rapport. L’acteur a initialement déployé un petit ensemble de machines virtuelles dans les mêmes abonnements compromis en utilisant l’une des applications existantes, et a lancé l’activité de cryptomining. L’acteur est ensuite revenu pour déployer davantage de machines virtuelles à l’aide de la nouvelle application. Les organisations ciblées ont dû payer des frais de calcul allant de 10 000 à 1,5 million de dollars à cause des attaques, en fonction de l’activité de l’acteur et de la durée de l’attaque.
#Les #pirates #abusent #dOAuth #pour #automatiser #les #cyberattaques #selon #Microsoft
2023-12-15 17:12:26
