Min menu

Pages

Les pirates de SolarWinds battent Malwarebytes avec un exploit Microsoft.

Les pirates de SolarWinds battent Malwarebytes avec un exploit Microsoft

Les pirates de SolarWinds battent Malwarebytes avec un exploit Microsoft

Ils ont accès à la messagerie d'entreprise après avoir abusé du produit de protection de messagerie des clients Office 365 inactif.

Malwarebytes a déclaré que le même cyber-gang parrainé par le gouvernement qui avait attaqué SolarWinds en décembre avait accès à la messagerie interne à l'aide d'un exploit dans Microsoft 365.

Selon le PDG Marcin Kleczynski, les pirates n'obtiennent qu'un accès limité à la messagerie interne de Malwarebytes en abusant d'un accès privilégié aux environnements Microsoft 365 et Azure.

Les sociétés de sécurité ont pris conscience de la menace pour la première fois après que le Centre de réponse de sécurité Microsoft (MSRC) a découvert une activité inhabituelle dans des applications tierces dans Microsoft 365. À ce stade, Microsoft teste les alertes des systèmes Office 365 et Azure. Des compromis temporaires les détails de l'attaque de SolarWinds émergent également.

Les attaquants ont démontré des techniques et des procédures similaires au compromis avec SolarWinds. Cependant, dans ce cas, ils abusent du produit de protection de messagerie inactif dans le client Office 365 d'entreprise. Cela donne à l'attaquant l'accès à un sous-ensemble interne limité d'e-mails.

Cependant, les attaquants n'ont pas pu accéder ou compromettre le code source de Malwarebytes, et la société maintient que son produit peut être utilisé en toute sécurité à tout moment.

«Bien que Malwarebytes n'utilise pas SolarWinds, comme beaucoup d'autres entreprises, nous avons récemment été ciblés par le même acteur»
a déclaré Kleczynski.

"Après une enquête approfondie, nous avons déterminé que l'attaquant ne pouvait accéder qu'à un petit nombre de courriels provenant d'entreprises nationales. Nous n'avons trouvé aucune preuve d'accès non autorisé ou de compromis dans l'environnement interne de nos usines et usines."

Le mécanisme d'exploitation spécifique est basé sur un bogue dans Azure Active Directory découvert en 2019, qui, selon Dirk-jan Mollema, chercheur de Fox IT, pourrait être utilisé pour attribuer des autorisations en définissant les informations d'identification de l'application.

Le rapport sur la cybersécurité et la sécurité des infrastructures (CISA) publié début janvier a également révélé comment des pirates informatiques pouvaient avoir saisi des mots de passe dans les applications Microsoft 365 en plus d'exploiter des données administratives.

Lors de l'attaque de Malwarebytes, les pirates ont ajouté des certificats auto-signés avec des informations d'identification au compte principal du service. De là, ils peuvent s'authentifier avec une clé et passer des appels API pour demander un e-mail via MSGraph.

La violation de SolarWinds est certainement l'un des incidents de sécurité les plus importants de l'année écoulée et a des conséquences considérables pour l'industrie. Depuis le début de l'année, on sait que les attaquants auront accès au code source de Microsoft en cas de violation et même de violation du système SolarWinds en septembre 2019.

Commentaires