Cybersécurité

Le MFA n’est pas suffisant pour contrer la prise de contrôle de comptes Microsoft 365


Une récente attaque de hameçonnage via Microsoft 365 cible les cadres d’entreprises en utilisant EvilProxy pour contourner l’authentification multifactorielle.

Une attaque de hameçonnage exploitant Microsoft 365 a affecté plus de 100 sociétés depuis mars dernier, parvenant à compromettre des comptes de hauts dirigeants. Pour ce faire, les malfaiteurs ont utilisé EvilProxy, un outil de hameçonnage qui recourt à des stratégies de proxy inverse pour esquiver l’authentification multifactorielle (MFA). Les spécialistes de Proofpoint, une entreprise de sécurité, ont décrit dans un article de blog comment, contrairement à ce que l’on croit généralement, le nombre de comptes piratés a augmenté parmi les clients utilisant la protection MFA. Selon leurs données, au moins 35 % des utilisateurs compromis l’année passée avaient activé le MFA.

Les emails de hameçonnage imitaient des messages automatiques provenant de services ou applications de confiance comme le gestionnaire de dépenses professionnelles Concur, ainsi que DocuSign et Adobe Sign. Ces faux emails prétendaient contenir des notes de frais à vérifier ou des documents à signer. Les URL contenues dans ces spams conduisaient les victimes à travers une série de redirections. Afin de brouiller les pistes et de compliquer la détection par des outils automatiques, les pirates ont utilisé des sites légitimes piratés pour masquer l’adresse email des utilisateurs.

EvilProxy et l’émergence des outils de phishing en tant que service

La page de hameçonnage, qui imitait une page de connexion à Microsoft 365, a été conçue avec EvilProxy, un service de hameçonnage offrant une interface simple permettant de créer et gérer des campagnes. EvilProxy fonctionne comme un proxy inverse, ce qui rend la tâche difficile pour les victimes qui croient interagir avec le vrai site, alors que l’attaquant peut voir tout ce qui est échangé entre les deux parties, comme les identifiants de connexion et les codes MFA. EvilProxy prétend pouvoir contourner MFA sur des sites populaires comme Apple, Gmail, Facebook, Microsoft, Twitter, GitHub, GoDaddy et bien d’autres.

Les pirates ayant mené l’attaque que Proofpoint a observée ont clairement ciblé des comptes VIP de grande valeur auxquels ils ont accédé rapidement après avoir compromis leurs informations d’identification. Ces pirates ont utilisé une application Microsoft 365 nommée My Sign-Ins pour mettre en place un accès durable aux comptes de haute valeur. Cette application leur a permis de modifier les paramètres de sécurité du compte de la victime.

Mesures de défense à mettre en place

Pour se protéger contre de pareilles attaques, Microsoft recommande aux organisations de mettre en place des méthodes d’AMF qui ne peuvent pas être interceptées, comme des clés USB physiques conformes à la norme FIDO2 ou l’authentification basée sur des certificats. Les politiques d’accès conditionnel peuvent aussi être mises en œuvre pour évaluer les demandes de connexion en fonction de l’identité et de l’emplacement de l’appareil.



Source link

Evan Navega

About Author

Leave a comment

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous aimerez peut-être aussi

Cybersécurité

Les types d’attaques cybernétiques les plus courants et comment s’en protéger

Les types d’attaques cybernétiques les plus courants et comment s’en protéger Le monde numérique offre une pléthore d’opportunités, mais il
Cybersécurité

Check Point acquiert Perimeter 81 pour 490 millions de dollars pour renforcer SASE et la confiance zéro.

Check Point, éditeur de sécurité, élargit ses compétences dans la gestion des accès réseau sécurisés et les architectures zero trust