Technologie
Produits
Secteurs
Actualités
Ressources
Entreprise
Français
Technologie
Produits
Secteurs
Actualités
Blog
Ressources
Entreprise

Authentification à deux facteurs (2FA) compromise : prise de contrôle d’un compte Microsoft

Max Heinemeyer, Director of Threat Hunting | jeudi 18 février 2021

L’authentification à deux facteurs (2FA) est aujourd’hui utilisée par près d’une entreprise sur trois. Elle requiert qu’un utilisateur présente plus d’une méthode d’authentification pour se connecter à un compte. Cela empêche les cybercriminels d’utiliser un simple mot de passe pour pirater un système. Au lieu de cela, des couches de sécurité supplémentaires sont requises pour pouvoir accéder à un compte, comme des méthodes biométriques (inhérence), des informations personnelles (connaissances) ou un code envoyé au téléphone ou à l’adresse e-mail de l’utilisateur (possession). Mais que se passe-t-il lorsque le processus 2FA lui-même a été compromis ?

Darktrace a récemment observé ce scénario précis lorsqu’un compte Microsoft 365 a été piraté. Le pirate a temporairement modifié le paramètre d’authentification de sorte que les codes SMS soient envoyés à son téléphone. L’attaque a tenté de se dissimuler dans l’activité habituelle de l’utilisateur et n’a pas été détectée. Cependant, Darktrace a été capable d’identifier la compromission du compte en s’appuyant sur des anomalies subtiles au niveau du comportement de l’utilisateur : connexions suspectes, créations de règles de messagerie inhabituelles et suppression de fichiers.

On a constaté une forte augmentation des attaques basées sur les SaaS, ce qui n’est pas surprenant, sachant que les entreprises utilisent de plus en plus les plateformes SaaS pour leurs opérations à distance. De nombreuses organisations utilisent aujourd’hui Microsoft 365 pour les e-mails, la gestion des utilisateurs, ainsi que pour le stockage et le partage de fichiers. Ce phénomène a étendu la surface d’attaque et offre des opportunités parfaites pour les cybercriminels. La sécurité des plateformes SaaS est bien souvent considérée en silo. Les équipes de sécurité manquent de visibilité globale et ont du mal à corréler les événements qui se produisent sur différentes plateformes.

La Cyber IA de Darktrace protège l’ensemble de l’environnement SaaS, en fournissant une couverture complète des plateformes Microsoft 365 et Azure. Dans ce cas, le client utilisait le module Microsoft 365. Malgré le fait que l’attaque ait échappé à tous les autres outils de sécurité, elle a été identifiée par le connecteur Microsoft 365 de Darktrace et analysée par le Cyber AI Analyst, la première technologie au monde d’investigation des menaces par l’IA. De manière entièrement automatique, ce produit catégorise les menaces, les interprète et génère des rapports englobant tout le champ d’action des incidents de sécurité.

Compromission d’un compte Microsoft au moyen de l’authentification 2FA

Le compte appartenant un utilisateur de l’équipe financière d’une entreprise répertoriant environ 10 000 utilisateurs de Microsoft 365 a été récemment compromis. L’infection initiale est vraisemblablement survenue quand l’employé a cliqué sur un lien malveillant contenu dans un e-mail de phishing.

Figure 1 : Chronologie de l’attaque

Darktrace a commencé à détecter des connexions suspectes au compte Microsoft 365 à partir d’emplacements inhabituels situés aux États-Unis et au Ghana. Ces connexions ont réussi à échapper aux mécanismes d’authentification à plusieurs facteurs (MFA), car le pirate avait subtilement manipulé les paramètres de l’utilisateur. Il avait modifié le numéro de téléphone associé au compte, de sorte que les messages d’authentification lui parviennent directement.

Figure 2 : La console SaaS dédiée de Darktrace identifie une activité inhabituelle dans Microsoft 365

L’authentification à deux facteurs (2FA) peut être compromise par différentes tactiques. Elle peut être piratée au moyen d’une attaque par changement de SIM, ou par l’intermédiaire d’une application OAuth malveillante. Un pirate pourrait même s’appuyer sur une attaque par phishing ou ingénierie sociale, et intervenir en temps réel pour utiliser le mot de passe unique au moment où la victime le saisit sur la page de phishing.

Suite aux connexions inhabituelles, Darktrace a observé que le cybercriminel avait modifié les règles de la messagerie pour le compte utilisateur compromis, ainsi que pour plusieurs boîtes de réception partagées, dont une associée au contrôle des crédits.

Pendant ce temps, le pirate a accédé à plusieurs e-mails dans la boîte de réception de la victime. Il y cherchait peut-être des données sensibles, ou il se familiarisait avec l’activité normale et le style d’écriture de l’utilisateur, dans le but de créer des e-mails de phishing crédibles usurpant l’identité du propriétaire du compte. Le criminel a également supprimé plusieurs e-mails destinés à l’utilisateur pour couvrir ses traces.

Le reste de la pile de sécurité de l’organisation n’a pas remarqué la menace, mais le connecteur Microsoft 365 de Darktrace a détecté le comportement anormal et a lancé une investigation automatisée à l’aide du Cyber AI Analyst. L’équipe de sécurité a pu contre-attaquer avant que le pirate ne puisse exploiter pleinement les boîtes de messagerie critiques partagées.

S’il avait eu le champ libre, il aurait pu accéder à des actifs de propriété intellectuelle (IP) et à des données financières sensibles concernant l’organisation et ses clients. Ces informations auraient alors pu servir de support pour exiger des paiements frauduleux, dont le coût pour les entreprises se chiffre souvent en dizaines de milliers de dollars.

Le Cyber AI Analyst analyse les attaques

Entraîné en étudiant des centaines d’analystes experts en cybersécurité, le Cyber AI Analyst mène des investigations autonomes englobant tout le champ d’action des menaces, y compris les compromissions de comptes SaaS. Dans ce cas, il a recoupé la connexion anormale et le comportement de l’utilisateur afin de générer un résumé de l’incident rédigé dans une langue naturelle, prêt à être passé en revue. En moyenne, il aurait fallu trois heures à un analyste humain pour produire la même chose. Le Cyber AI Analyst l’a fait en quelques secondes à peine, pour un gain de temps de 92 %.

Figure 3 : Démonstration : comment le Cyber AI Analyst génère des rapports sur les connexions et les accès aux fichiers inhabituels

Conclusion

Les équipes dynamiques sont aujourd’hui plus dispersées que jamais. Elles s’appuient sur des applications SaaS et des systèmes IT extrêmement vastes pour héberger des données précieuses. Face à cette globalisation numérique, la cybersécurité doit elle aussi être omniprésente et fournir une visibilité complète sur tout l’écosystème numérique.

Cette cyberattaque était ciblée et sophistiquée. L’attaque avait utilisé des identifiants compromis, ce qui fait qu’aucune activité de type force brute n’avait été constatée avant les connexions successives. De plus, le pirate avait validé l’authentification à deux facteurs, et il avait couvert ses traces en supprimant des e-mails et en se fondant dans l’activité légitime de l’utilisateur.

L’IA Darktrace, malgré tout, a détecté les anomalies subtiles dans le comportement de l’utilisateur et a identifié qu’il s’agissait en réalité d’une présence indésirable dans l’environnement. Darktrace est capable de couvrir les attaques qui surviennent dans le cloud et les SaaS tout au long du cycle de vie de l’attaque : des e-mails de phishing ciblés initiaux à la prise de contrôle de comptes, même quand d’autres méthodes de sécurité comme l’authentification 2FA ont été compromises. Pour ces attaques, une détection précoce est cruciale. Les répercussions financières et en termes de réputation auraient pu être désastreuses si Darktrace n’avait pas détecté l’attaque.

Nous remercions l’analyste Darktrace Brianna Leddy pour ses informations sur la menace ci-dessus.

Plus d’informations sur la protection par l’IA de Microsoft 365

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.