Quand le MFA fait le jeu des cyberattaquants

Clément Bohic,
Linkedin
manipulation MFA

Proofpoint attire l’attention sur une campagne en cours impliquant la manipulation MFA sur des comptes Microsoft.

Gardez un œil sur vos configurations et optez pour une remédiation automatisée en cas de changements indésirables. Des conseils d’hygiène basiques que Proofpoint rappelait début janvier dans le cadre d’un focus sur la manipulation MFA.

L’éditeur donnait l’exemple d’une grande entreprise d’immobilier confrontée à cette technique d’attaque. Le point d’entrée : son contrôleur financier. Celui-ci s’est fait intercepter ses authentifiants Microsoft 365… et un cookie de session.

Avec ces éléments, les attaquants se sont connectés à la page de paramétrage des facteurs d’authentification et y en ont ajouté un – en l’occurrence, une application avec jeton TOTP et validation par notification. Le principe même de la manipulation MFA.

Le MFA détourné… comme OAuth

Proofpoint vient à nouveau d’attirer l’attention sur cette technique, dans le cadre d’une campagne qu’il dit avoir détectée fin novembre. Encore en cours, elle « a touché des environnements cloud Azure », pour reprendre les termes employés.

Dans la pratique, l’éditeur concentre sa démonstration sur l’accès à des applications Microsoft 365. Le vecteur initial : du phishing individualisé reposant sur des documents partagés – notamment par insertion de liens malveillants. L’éventail des cibles (plusieurs centaines de comptes) s’étend jusqu’à des cadres dirigeants.

Les applications ciblées incluent la messagerie Exchange, aussi bien pour exfiltrer des données que pour latéraliser à renfort d’e-mails frauduleux. Elles incluent aussi la fameuse page de paramétrage des facteurs d’authentification… Proofpoint a recensé des ajouts de numéros de téléphone, mais surtout d’applications d’authentification.

La manipulation MFA s’est assortie d’abus OAuth, au sens de l’usage d’une application tierce pour voler des données, diffuser des malwares… et obtenir une forme d’accès persistant.

À consulter en complément :

Baromètre CESIN : comment évolue la protection cyber des entreprises ?
Compte X de la SEC piraté : le MFA était désactivé…
Les axes d’amélioration des solutions MFA et SSO
Le synchronisation cloud des codes MFA pointée du doigt
Gestion des identités dans le cloud : trois retours d’expérience

Illustration © blackboard – Adobe Stock