Aussi connu sous le nom d’APT29 par certains analystes et censé être soutenu par le service de renseignement étranger russe, le gang continue de démontrer “une excellente sécurité opérationnelle et des tactiques avancées ciblant Microsoft 365”, a déclaré Mandiant dans un communiqué. Cela inclut le contournement de l’authentification multifacteur (MFA). Les cybercriminels, y compris APT29, exploitent le processus d’auto-inscription MFA dans Azure Active Directory de Microsoft et d’autres plates-formes, selon le rapport. “Lorsqu’une organisation met en œuvre pour la première fois l’authentification multifacteur, la plupart des plates-formes permettent aux utilisateurs d’inscrire leur premier appareil dans MFA lors de la prochaine connexion. C’est souvent le flux de travail que les organisations choisissent pour le développement MFA. Dans les configurations par défaut d’Azure AD et d’autres plates-formes, il n’y a pas d’application supplémentaire dans le processus d’inscription MFA », explique Mandiant. “En d’autres termes, toute personne connaissant le nom d’utilisateur et le mot de passe peut accéder au compte de n’importe où et depuis n’importe quel appareil pour s’inscrire à l’AMF, tant qu’elle est la première à le faire. » Lors d’un incident, indique le rapport, APT29 a effectué une attaque par devinette de mot de passe contre une liste de boîtes de messagerie qu’ils avaient obtenues d’une manière ou d’une autre. Ils ont pu deviner le mot de passe d’un compte qui avait été créé mais jamais utilisé. Le compte étant inactif, Azure AD a demandé à APT29 de s’inscrire à MFA. Une fois inscrit, l’attaquant a pu utiliser le compte pour accéder à l’infrastructure VPN de l’organisation, qui utilisait Azure AD pour l’authentification et la MFA. Mandiant recommande aux organisations de s’assurer que tous les comptes actifs disposent d’au moins un appareil inscrit auprès de l’AMF et de travailler avec leur fournisseur de plateforme pour ajouter des vérifications supplémentaires au processus d’inscription auprès de l’AMF. Microsoft Azure AD a récemment publié une fonctionnalité permettant aux organisations d’appliquer des contrôles autour d’actions spécifiques, telles que l’inscription d’appareils dans MFA, indique le rapport. À l’aide de l’accès conditionnel, les administrateurs informatiques peuvent restreindre l’inscription des appareils dans MFA aux seuls emplacements approuvés, tels que le réseau interne, ou aux appareils approuvés. Pour plus de détails, l’article original (en anglais) est disponible sur Monde informatique Canadaune publication sœur de direction informatique. Adaptation et traduction française par Renaud Larue-Langlois.
