Gardez un œil sur vos configurations et optez pour une remédiation automatisée en cas de changements indésirables. Des conseils d’hygiène basiques que Proofpoint rappelait début janvier dans le cadre d’un focus sur la manipulation MFA.
L’éditeur donnait l’exemple d’une grande entreprise d’immobilier confrontée à cette technique d’attaque. Le point d’entrée : son contrôleur financier. Celui-ci s’est fait intercepter ses authentifiants Microsoft 365… et un cookie de session.
Avec ces éléments, les attaquants se sont connectés à la page de paramétrage des facteurs d’authentification et y en ont ajouté un – en l’occurrence, une application avec jeton TOTP et validation par notification. Le principe même de la manipulation MFA.
Proofpoint vient à nouveau d’attirer l’attention sur cette technique, dans le cadre d’une campagne qu’il dit avoir détectée fin novembre. Encore en cours, elle « a touché des environnements cloud Azure », pour reprendre les termes employés.
Dans la pratique, l’éditeur concentre sa démonstration sur l’accès à des applications Microsoft 365. Le vecteur initial : du phishing individualisé reposant sur des documents partagés – notamment par insertion de liens malveillants. L’éventail des cibles (plusieurs centaines de comptes) s’étend jusqu’à des cadres dirigeants.
Les applications ciblées incluent la messagerie Exchange, aussi bien pour exfiltrer des données que pour latéraliser à renfort d’e-mails frauduleux. Elles incluent aussi la fameuse page de paramétrage des facteurs d’authentification… Proofpoint a recensé des ajouts de numéros de téléphone, mais surtout d’applications d’authentification.
La manipulation MFA s’est assortie d’abus OAuth, au sens de l’usage d’une application tierce pour voler des données, diffuser des malwares… et obtenir une forme d’accès persistant.
À consulter en complément :
Baromètre CESIN : comment évolue la protection cyber des entreprises ?
Compte X de la SEC piraté : le MFA était désactivé…
Les axes d’amélioration des solutions MFA et SSO
Le synchronisation cloud des codes MFA pointée du doigt
Gestion des identités dans le cloud : trois retours d’expérience
Illustration © blackboard – Adobe Stock
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…