Le Conseil d’examen de la cybersécurité (CSRB) du Département de la sécurité intérieure a annoncé son intention de procéder à un examen approfondi des pratiques de sécurité dans le cloud à la suite des récents piratages chinois des comptes Microsoft Exchange utilisés par les agences gouvernementales américaines.

Le CSRB est une collaboration des secteurs public et privé, créée pour mener des enquêtes approfondies qui offrent une meilleure compréhension des événements critiques, discerner les causes profondes et émettre des recommandations éclairées sur la cybersécurité.

Dans ce cas, le CSRB explorera comment le gouvernement, l’industrie et les fournisseurs de services cloud (CSP) peuvent renforcer la gestion et l’authentification de l’identité dans le cloud et développer des recommandations de cybersécurité exploitables pour toutes les parties prenantes.

Ces recommandations seront transmises à la CISA et à l’actuelle administration américaine, qui décideront des mesures à prendre pour protéger les systèmes et les comptes du gouvernement.

« Les organisations de toutes sortes dépendent de plus en plus du cloud computing pour fournir des services au peuple américain, ce qui rend impératif que nous comprenions les vulnérabilités de cette technologie », a déclaré Alejandro Mayorkas, secrétaire à la Sécurité intérieure.

« La sécurité du cloud est l’épine dorsale de certains de nos systèmes les plus critiques, de nos plateformes de commerce électronique à nos outils de communication en passant par notre infrastructure critique. »

Storm-0558 piratage de Microsoft Exchange
À la mi-juillet 2023, Microsoft a signalé qu’un groupe de piratage chinois identifié sous le nom de « Storm-0558 » avait piraté les comptes de messagerie de 25 organisations, y compris des agences gouvernementales américaines et d’Europe occidentale, en utilisant de faux jetons d’authentification à partir d’une clé de signature Microsoft volée.

À l’aide de cette clé volée, les cybercriminels chinois ont exploité une vulnérabilité zero-day dans la fonction API GetAccessTokenForResource pour Outlook Web Access dans Exchange Online (OWA) afin de falsifier des jetons d’autorisation.

Ces jetons ont permis aux pirates de se faire passer pour des comptes Azure et d’accéder à des comptes de messagerie pour de nombreuses agences et organisations gouvernementales afin de surveiller et de voler des e-mails.

Après ces attaques, Microsoft a fait l’objet de nombreuses critiques pour ne pas avoir fourni gratuitement une journalisation adéquate aux clients Microsoft. Au lieu de cela, Microsft a demandé aux clients d’acheter des licences supplémentaires pour obtenir des données de journalisation qui auraient pu aider à détecter ces attaques.

Après avoir travaillé avec CISA pour identifier les données de journalisation cruciales nécessaires à la détection des attaques, Microsoft a annoncé qu’il l’offrait désormais gratuitement à tous les clients Microsoft.

Microsoft a révoqué la clé de signature volée et corrigé la faille de l’API pour éviter de nouveaux abus. Pourtant, leur enquête sur l’incident n’a pas révélé exactement comment les pirates ont acquis la clé en premier lieu.

Deux semaines après la découverte initiale de la faille, les chercheurs de Wiz ont signalé que l’accès de Storm-0558 était beaucoup plus large que ce que Microsoft avait précédemment signalé, y compris les applications Azure AD qui fonctionnent avec OpenID v2.0 de Microsoft.

Wiz a révélé que les pirates chinois auraient pu utiliser la clé compromise pour accéder à diverses applications Microsoft et à toutes les applications client prenant en charge l’authentification de compte Microsoft, de sorte que l’incident pourrait ne pas se limiter à l’accès et à l’exfiltration des e-mails des serveurs Exchange.

Compte tenu de la gravité de la violation, des efforts d’enquête approfondis requis et des conclusions peu concluantes à ce jour, le gouvernement américain a chargé le CSRB de procéder à un examen complet de l’affaire, en espérant qu’il produira des informations qui renforceront les utilisateurs, les défenseurs et les fournisseurs de services contre les menaces futures.

Les examens antérieurs du CSRB incluent la série de vulnérabilités à large impact dans le logiciel Log4j en 2021 et les activités de Lapsus$, un groupe de piratage qui a excellé dans la violation des entreprises du Fortune 500 en utilisant des techniques simples mais très efficaces comme l’échange de cartes SIM et l’ingénierie sociale.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *