Ressources
BULLETIN D'INFORMATION
(Ransom)Où les utilisateurs de Microsoft 365 sont-ils vulnérables ?
Qui a dit que les environnements en nuage étaient à l'abri des attaques de ransomware ?
Par Rodman Ramezanian - Conseiller en sécurité de l'informatique en nuage pour les entreprises
3 août 2022 7 Minute Read
Les entreprises et leurs utilisateurs croient souvent à tort que les environnements en nuage sont à l'abri des menaces de ransomware. Cependant, selon une découverte récente des chercheurs de Proofpoint, des acteurs malveillants peuvent lancer des attaques de ransomware en exploitant les sauvegardes de versions de fichiers de Microsoft 365 - disponibles grâce à la fonction native de sauvegarde automatique des fichiers de la plateforme.
En termes simples, un cybercriminel peut crypter toutes les versions connues d'un fichier, même celles qui ont été sauvegardées, d'une manière qui les rend irréparables sans sauvegardes spécifiques ou sans clé de décryptage de l'attaquant.
Malheureusement, ce n'est pas la première fois qu'un ransomware s'attaque au monde de Microsoft 365. Il y a six ans, la souche de ransomware Cerber avait jeté son dévolu sur Microsoft 365 et était parvenue à exposer des millions d'utilisateurs à une attaque inédite de type "zero-day", capable de contourner la sécurité native de Microsoft 365.
Comment ? En utilisant des techniques similaires encore utilisées aujourd'hui : des courriels d'hameçonnage avec des fichiers malveillants en pièce jointe, l'incitation des utilisateurs à autoriser le contenu de macros, l'utilisation d'applications tierces et diverses autres méthodes.
À mesure que les services en nuage rassemblent un grand nombre d'utilisateurs au sein d'un même écosystème, ils deviennent des cibles de choix pour les cybercriminels. Imaginez les dégâts qu'une attaque par ransomware bien conçue peut infliger à un large segment d'entreprises qui utilisent toutes les services de Microsoft 365. En 2020, comme nous l'avons vu lors des premières attaques réussies contre SolarWinds et Microsoft, les impacts économiques pourraient être dévastateurs.
Comment ces violations se sont-elles produites ?
Les services et applications en nuage sont plus que jamais essentiels à la mission des entreprises. Il n'est donc pas étonnant que les acteurs criminels continuent de placer les plateformes en nuage telles que Microsoft 365 dans leur ligne de mire, sachant que les victimes seront beaucoup plus enclines à payer les rançons. Les vecteurs d'attaque ici impliquent l'exploitation des fonctions natives de Microsoft 365 pour les sauvegardes dans le nuage. Les menaces qui "vivent sur le terrain" en utilisant des outils et des paramètres intégrés sont généralement plus difficiles à atténuer, car elles peuvent être exploitées plus facilement et sont plus difficiles à détecter et à prévenir.
Que peut-on faire ?
Une combinaison de bonnes pratiques peut contribuer à réduire de manière significative l'impact de telles attaques, en particulier lorsque le vecteur d'attaque initial implique toujours la compromission d'un compte Microsoft 365 par prise de contrôle.
Il ne faut pas négliger les mesures de base telles que l'activation de Step-Up et de l'authentification multifactorielle (MFA), l'application de normes strictes en matière de mots de passe, le maintien de contrôles d'accès stricts et l'investissement continu dans les programmes de formation de sensibilisation des employés.
Il sera toujours difficile d'empêcher purement et simplement ces risques pour les raisons mentionnées ci-dessus. Pour cette raison, définissez des déclencheurs et des paramètres d'anomalie pour détecter les valeurs aberrantes suspectes et les activités potentiellement menaçantes, telles que les actions administratives anormales ou les demandes d'accès aux données qui peuvent être les signaux d'alerte d'une altération des limites de sauvegarde de la version et des configurations AutoSave.
De nombreuses applications tierces se connectent aux plateformes SaaS (comme Microsoft 365 dans ce cas) via des jetons OAuth. Contrairement aux nouveaux utilisateurs qui se connectent à un environnement, les jetons OAuth n'ont pas besoin de s'authentifier via un fournisseur d'identité après leur attribution initiale. Une fois que l'application a accès à Microsoft 365 et à ses données via OAuth, elle conserve cet accès indéfiniment jusqu'à ce qu'il soit révoqué. Pour cette raison, veillez à révoquer les jetons et l'accès aux applications suspectes qui reviennent dans votre contrat de location Microsoft 365.
Les organisations devraient toujours se préparer au pire en adoptant un état d'esprit de type "assumez la violation". Ainsi, dans des périodes comme celle-ci, les sauvegardes hors ligne ne sont jamais une mauvaise idée en plus des procédures de récupération BC/DR qui ont fait leurs preuves.
Utilisez Skyhigh Security?
- Renforcer l'authentification par paliers pour les cas d'utilisation qui peuvent présenter des risques accrus
- Mettre en place des seuils d'anomalie pour mettre en évidence les comportements suspects qui peuvent justifier une enquête plus approfondie.
- Utilisez les anomalies de données pour signaler les accès inhabituels aux fichiers et enregistrements dans Microsoft 365 ou vos autres services sanctionnés.
- Analyser les anomalies d'accès qui peuvent indiquer des tentatives potentielles d'accès non autorisé
- Découvrez les anomalies d'accès privilégié dans les cas où les utilisateurs administratifs peuvent avoir un comportement douteux.
- Révoquer les applications tierces connectées qui peuvent faciliter l'accès aux données au sein de Microsoft 365
Avec plus de 11 ans d'expérience dans le secteur de la cybersécurité, Rodman Ramezanian est conseiller en sécurité Cloud pour les entreprises, responsable du conseil technique, de l'habilitation, de la conception de solutions et de l'architecture à l'adresse Skyhigh Security. Dans ce rôle, Rodman se concentre principalement sur le gouvernement fédéral australien, la défense et les organisations d'entreprise.
Rodman est spécialisé dans les domaines du renseignement sur les menaces adverses, de la cybercriminalité, de la protection des données et de la sécurité du cloud. Il est un évaluateur du PARI approuvé par l'Australian Signals Directorate (ASD) et détient actuellement les certifications CISSP, CCSP, CISA, CDPSE, Microsoft Azure et MITRE ATT&CK CTI.
En toute sincérité, M. Rodman a une grande passion pour la formulation de sujets complexes en termes simples, afin d'aider le commun des mortels et les nouveaux professionnels de la sécurité à comprendre le quoi, le pourquoi et le comment de la cybersécurité.
Points forts de l'attaque
- Les premières étapes des attaques de ransomware dans le nuage ont tendance à impliquer des tactiques courantes telles que les campagnes de phishing, les attaques par force brute et/ou les applications tierces malveillantes tirant parti des jetons OAuth s'intégrant à Microsoft OneDrive/SharePoint.
- Une fois qu'un compte Microsoft 365 a été infiltré, les fichiers des utilisateurs peuvent être découverts sur l'ensemble de la plateforme
- Les attaquants commencent à abuser des fonctions natives "AutoSave" et "Version Control" qui créent des sauvegardes dans le nuage d'anciennes versions de fichiers (destinées à aider les utilisateurs à récupérer d'anciennes copies de fichiers modifiés).
- En réduisant le numéro de la limite de version de la bibliothèque de documents à un chiffre inférieur, le pirate n'a qu'à modifier très légèrement le(s) fichier(s) et à le(s) chiffrer au-delà de cette limite de version pour le(s) rendre inaccessible(s)
- En l'absence de sauvegardes externes, les victimes doivent alors payer une rançon.
