La fin de l’année dernière a vu la réapparition d’une mauvaise tactique de phishing qui permet à l’attaquant d’obtenir un accès complet aux données d’un utilisateur stockées dans le cloud sans réellement voler le mot de passe du compte. L’appât du phishing commence par un lien qui mène à la vraie page de connexion d’un service de messagerie et/ou de stockage de fichiers dans le cloud. Quiconque prend l’appât transmettra par inadvertance un jeton numérique aux attaquants qui leur donne un accès indéfini aux e-mails, fichiers et contacts de la victime, même après que la victime a changé son mot de passe.
Avant d’entrer dans les détails, il est important de noter deux choses. Tout d’abord, alors que les versions les plus récentes de ce phishing furtif ciblaient les utilisateurs professionnels de Office 365 de Microsoft service, la même approche pourrait être utilisée pour piéger les utilisateurs de nombreux autres fournisseurs de cloud. Deuxièmement, cette attaque n’est pas vraiment nouvelle : en 2017, par exemple, les hameçonneurs ont utilisé une technique similaire. pour piller les comptes du service Gmail de Google.
Pourtant, cette tactique de phishing mérite d’être soulignée car des exemples récents de celle-ci ont reçu relativement peu de couverture médiatique. De plus, le compromis qui en résulte est assez persistant et évite l’authentification à deux facteurs, et il semble probable que nous verrons cette approche exploitée plus fréquemment à l’avenir.
Début décembre, les experts en sécurité de PhishLabs détaillé un stratagème de phishing sophistiqué ciblant les utilisateurs d’Office 365 qui ont utilisé un lien malveillant qui a redirigé les personnes qui ont cliqué vers une page de connexion officielle d’Office 365 — login.microsoftonline.com. Toute personne suspecte à propos du lien n’aurait rien vu d’anormal dans la barre d’adresse de son navigateur et pourrait facilement vérifier que le lien l’a bien conduit à la véritable page de connexion de Microsoft :
Ce n’est qu’en copiant et collant le lien ou en faisant défiler vers la droite dans la barre d’URL que nous pouvons détecter que quelque chose ne va pas :
Comme nous pouvons le voir à partir de l’URL dans l’image ci-dessus, le lien indique à Microsoft de transmettre le jeton d’autorisation produit par une connexion réussie au domaine bureauadapté[.]com. À partir de là, l’utilisateur recevra une invite indiquant qu’une application demande des autorisations pour lire vos e-mails, contacts, blocs-notes OneNote, accéder à vos fichiers, lire/écrire dans les paramètres de votre boîte aux lettres, vous connecter, lire votre profil et maintenir accès à ces données.
Selon PhishLabs, l’application qui génère cette demande a été créée à l’aide d’informations apparemment volées à une organisation légitime. Le domaine hébergeant l’application malveillante illustrée ci-dessus — officemtr[.]com — est différent de celui que j’ai vu fin décembre, mais il était hébergé à la même adresse Internet qu’officesuited[.]com et probablement signé en utilisant les informations d’identification de la même entreprise légitime.
PhishLabs affirme que les attaquants exploitent une fonctionnalité d’Outlook connue sous le nom de « compléments », qui sont des applications créées par des développeurs tiers qui peuvent être installées à partir d’un fichier ou d’une URL de la boutique Office.
« Par défaut, tout utilisateur peut appliquer des compléments à son application Outlook », a écrit PhishLabs. Michel Tyler. « En outre, Microsoft autorise l’installation des compléments et des applications Office 365 via un chargement latéral sans passer par l’Office Store, évitant ainsi tout processus de révision. »
Dans une interview avec BreachTrace, Tyler a déclaré qu’il considérait cette méthode d’attaque plus comme un malware que le phishing traditionnel, qui tente d’inciter quelqu’un à donner son mot de passe aux escrocs.
« La différence ici est qu’au lieu de transmettre des informations d’identification à quelqu’un, ils autorisent une application externe à commencer à interagir directement avec leur environnement Office 365 », a-t-il déclaré.
De nombreux lecteurs à ce stade peuvent penser qu’ils hésiteraient avant d’approuver des autorisations aussi puissantes que celles demandées par cette application malveillante. Mais Tyler a déclaré que cela suppose que l’utilisateur comprenne d’une manière ou d’une autre qu’un tiers malveillant est impliqué dans la transaction.
« Nous pouvons examiner la raison pour laquelle le phishing existe toujours, et c’est parce que les gens prennent des décisions qu’ils ne devraient pas prendre ou ne devraient pas pouvoir prendre », a-t-il déclaré. « Même les employés formés à la sécurité sont formés pour s’assurer qu’il s’agit d’un site légitime avant de saisir leurs informations d’identification. Eh bien, dans cette attaque, le site est légitime, et à ce moment-là, leur garde est baissée. Je regarde cela et je me dis, serais-je plus susceptible de taper mon mot de passe dans une case ou plus susceptible de cliquer sur un bouton qui dit « OK » ? »
La partie effrayante de cette attaque est qu’une fois qu’un utilisateur accorde à l’application malveillante des autorisations pour lire ses fichiers et ses e-mails, les attaquants peuvent conserver l’accès au compte même après que l’utilisateur a changé son mot de passe. De plus, Tyler a déclaré que l’application malveillante qu’ils ont testée n’était pas visible en tant que complément au niveau de l’utilisateur individuel ; seuls les administrateurs système responsables de la gestion des comptes d’utilisateurs pouvaient voir que l’application avait été approuvée.
De plus, même si une organisation exige une authentification multifacteur lors de la connexion, rappelez-vous que le processus de connexion de ce phishing se déroule sur le propre site Web de Microsoft. Cela signifie que l’activation de deux facteurs pour un compte ne ferait rien pour empêcher une application malveillante déjà approuvée par l’utilisateur d’accéder à ses e-mails ou fichiers.
Une fois autorisée à accéder aux e-mails et aux fichiers de l’utilisateur, l’application conservera cet accès jusqu’à ce que l’une des deux choses suivantes se produise : Microsoft découvre et désactive l’application malveillante, ou un administrateur du domaine de l’utilisateur victime supprime le programme du compte de l’utilisateur.
S’attendre à une action rapide de Microsoft n’est peut-être pas idéal : d’après mes tests, Microsoft semble avoir désactivé l’application malveillante diffusée par officesuited[.]com vers le 19 décembre – environ une semaine après sa mise en ligne.
Dans une déclaration fournie à BreachTrace, Microsoft Senior Director Jeff Jones a déclaré que la société continue de surveiller les nouvelles variantes potentielles de cette activité malveillante et prendra des mesures pour désactiver les applications au fur et à mesure qu’elles seront identifiées.
« La technique décrite repose sur une campagne de phishing sophistiquée qui invite les utilisateurs à autoriser une application Azure Active Directory malveillante », a déclaré Jones. « Nous avons informé les clients concernés et travaillé avec eux pour les aider à remédier à leur environnement. »
Les instructions de Microsoft pour détecter et supprimer les accords de consentement illicites dans Office 365 sont ici. Microsoft dit que les administrateurs peut activer un paramètre qui empêche les utilisateurs d’installer des applications tierces dans Office 365, mais il s’agit d’une « étape drastique » qui « n’est pas fortement recommandée car elle nuit gravement à la capacité de vos utilisateurs à être productifs avec des applications tierces ».
Tyler de PhishLabs a déclaré qu’il n’était pas d’accord avec Microsoft ici et encourage les administrateurs d’Office 365 à empêcher complètement les utilisateurs d’installer des applications – ou à tout le moins de les restreindre aux applications de la boutique officielle Microsoft.
En dehors de cela, a-t-il déclaré, il est important que les administrateurs d’Office 365 recherchent périodiquement les applications suspectes installées sur leur environnement Office 365.
« Si une organisation devait en être la proie, vos méthodes traditionnelles d’éradication impliquent l’activation de l’authentification à deux facteurs, l’effacement des sessions de l’utilisateur, etc., mais cela ne fera rien ici », a-t-il déclaré. « Il est important que les équipes d’intervention connaissent cette tactique afin qu’elles puissent rechercher les problèmes. Si vous ne pouvez pas ou ne voulez pas le faire, assurez-vous au moins de avoir la journalisation de sécurité activée il génère donc une alerte lorsque des personnes introduisent un nouveau logiciel dans votre infrastructure.