[ad_1]

Ciblage des hameçonneurs Microsoft Office 365 les utilisateurs se tournent de plus en plus vers des liens spécialisés qui dirigent les utilisateurs vers la propre page de connexion par e-mail de leur organisation. Une fois qu’un utilisateur s’est connecté, le lien l’invite à installer une application malveillante mais au nom inoffensif qui donne à l’attaquant un accès persistant et sans mot de passe à tous les e-mails et fichiers de l’utilisateur, qui sont ensuite pillés pour lancer des logiciels malveillants et des escroqueries par hameçonnage. contre les autres.

Ces attaques commencent par un lien envoyé par e-mail qui, lorsqu’il est cliqué, ne charge pas un site de phishing, mais la page de connexion Office 365 de l’utilisateur, que ce soit sur microsoft.com ou sur le domaine de son employeur. Une fois connecté, l’utilisateur peut voir une invite qui ressemble à ceci :

Ces applications malveillantes permettent aux attaquants de contourner l’authentification multifacteur, car elles sont approuvées par l’utilisateur une fois que cet utilisateur s’est déjà connecté. De plus, les applications persisteront indéfiniment dans le compte Office 365 d’un utilisateur jusqu’à leur suppression, et survivront même après un compte. Réinitialisation du mot de passe.

Cette semaine, le fournisseur de sécurité de messagerie Point de preuve publié de nouvelles données sur la montée de ces applications Office 365 malveillantes, notant qu’un pourcentage élevé d’utilisateurs d’Office tomberont dans le piège [full disclosure: Proofpoint is an advertiser on this website].

Ryan Kalembervice-président exécutif de la stratégie de cybersécurité de Proofpoint, a déclaré que 55 % des clients de l’entreprise ont été confrontés à ces attaques d’applications malveillantes à un moment ou à un autre.

« Parmi ceux qui ont été attaqués, environ 22 % – soit un sur cinq – ont été compromis avec succès », a déclaré Kalember.

Kalember a déclaré que Microsoft avait cherché l’année dernière à limiter la propagation de ces applications Office malveillantes en créant un système de vérification des éditeurs d’applications, qui exige que l’éditeur soit un membre valide du Microsoft Partner Network.

Ce processus d’approbation est fastidieux pour les attaquants, ils ont donc conçu une solution simple. « Maintenant, ils compromettent d’abord les comptes des locataires crédibles », explique Proofpoint. « Ensuite, ils créent, hébergent et diffusent des logiciels malveillants dans le cloud de l’intérieur. »

Les attaquants responsables du déploiement de ces applications Office malveillantes ne recherchent pas les mots de passe et, dans ce scénario, ils ne peuvent même pas les voir. Ils espèrent plutôt qu’après s’être connectés, les utilisateurs cliqueront sur Oui pour approuver l’installation d’une application malveillante mais au nom inoffensif dans leur compte Office365.

Kalember a déclaré que les escrocs à l’origine de ces applications malveillantes utilisent généralement tous les comptes de messagerie compromis pour mener une « compromission de messagerie professionnelle » ou une fraude BEC, qui consiste à usurper un e-mail d’une personne en autorité dans une organisation et à demander le paiement d’une facture fictive. D’autres utilisations ont inclus l’envoi d’e-mails contenant des logiciels malveillants à partir du compte de messagerie de la victime.

L’année dernière, Proofpoint a écrit sur un service dans la clandestinité cybercriminelle où les clients pouvaient accéder à divers comptes Office 365 sans nom d’utilisateur ni mot de passe. Le service a également annoncé la possibilité d’extraire et de filtrer les e-mails et les fichiers en fonction de mots clés sélectionnés, ainsi que de joindre des macros malveillantes à tous les documents du Microsoft OneDrive d’un utilisateur.

Un service cybercriminel annonçant la vente d’accès à des comptes Office365 piratés. Image : Proofpoint.

« Vous n’avez pas besoin d’un botnet si vous avez Office 365, et vous n’avez pas besoin de logiciels malveillants si vous avez ces [malicious] applications », a déclaré Kalember. « C’est simplement plus simple et c’est un bon moyen de contourner l’authentification multifacteur. »

BreachTrace a mis en garde pour la première fois contre cette tendance en janvier 2020. Cette histoire citait Microsoft disant que si les organisations exécutant Office 365 pourrait activer un paramètre pour empêcher les utilisateurs d’installer des applicationscela constituait une « étape radicale » qui « affecte gravement la capacité de vos utilisateurs à être productifs avec des applications tierces ».

Depuis lors, Microsoft a ajouté une politique qui permet aux administrateurs d’Office 365 d’empêcher les utilisateurs de consentir à une application d’un éditeur non vérifié. De plus, les applications publiées après le 8 novembre 2020 sont couplées à un avertissement d’écran de consentement au cas où l’éditeur n’est pas vérifié, et la politique du locataire autorise le consentement.

Les instructions de Microsoft pour détecter et supprimer les accords de consentement illicites dans Office 365 sont ici.

Proofpoint indique que les administrateurs O365 devraient limiter ou bloquer les non-administrateurs qui peuvent créer des applications et activer la politique d’éditeur vérifié de Microsoft, car la majorité des logiciels malveillants dans le cloud proviennent toujours de locataires Office 365 qui ne font pas partie du réseau de partenaires de Microsoft. Les experts disent qu’il est également important de s’assurer que vous avoir la journalisation de sécurité activée afin que des alertes soient générées lorsque les employés introduisent de nouveaux logiciels dans votre infrastructure.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *