Les campagnes actuelles permettent même aux attaquants novices de récupérer des jetons d’authentification à une fréquence croissante, contournant ainsi ce qui était autrefois considéré comme une protection infaillible.
Les experts en cybersécurité mettent en garde les administrateurs d’entreprise contre un nombre croissant de campagnes de phishing visant à voler des jetons d’accès Microsoft 365 (M365) pour contourner la protection de connexion par authentification multifacteur.
Les kits de phishing visant à capturer les jetons M365 ne sont pas nouveaux ; Certains rapports indiquent que ces kits existent depuis 2021. L’un des derniers en date est EvilTokens, qui, selon les chercheurs de Sekoia, circule depuis février. Et plus tôt ce mois-ci, Microsoft a également émis un avertissement concernant d’autres schémas de phishing d’adversaire au milieu qui volent des jetons d’authentification et, séparément, sur les campagnes qui exploitent la fonctionnalité du protocole OAuth pour manipuler la redirection d’URL afin de contourner les défenses de phishing conventionnelles.
Abaisse la barrière à l’entrée
Mais, a déclaré le Federal Bureau of Investigation (FBI) des États-Unis dans un avertissement la semaine dernière, la nouvelle plate-forme de phishing en tant que service Kali365 « abaisse la barrière à l’entrée, en permettant aux attaquants moins techniques d’accéder aux leurres de phishing générés par l’IA, aux modèles de campagne automatisés, aux tableaux de bord de suivi des individus/entités ciblés en temps réel et aux capacités de capture de jetons OAuth.
Les acteurs malveillants en profitent de plus en plus. Le 24 avril, par exemple, le fournisseur de sécurité Arctic Wolf a déclaré avoir détecté une campagne de phishing de code d’appareil à grande échelle affectant les organisations et menée par un acteur malveillant utilisant le service Kali365. Quatre jours plus tard, les chercheurs de Gurucul ont émis un avertissement similaire, ajoutant que le nouveau kit Kali365 « devenait rapidement une arme privilégiée » des acteurs malveillants. Les plates-formes Kali365 et EvilTokens incitent les employés à saisir un code sur une page de connexion Microsoft légitime qui permet aux attaquants de voler des jetons OAuth.
Aller au-delà de la MFA en tant qu’élément de la liste de contrôle
La mise en garde du FBI « nous rappelle (également) que l’authentification multifactorielle n’est plus la seule étape qui doit être présente pour la protection », a déclaré Robert Beggs, PDG de la société canadienne de réponse aux incidents Digital Defence.
« Les organisations doivent aller au-delà de cela comme un « élément de liste de contrôle » et se concentrer plutôt sur une approche de défense en profondeur. Les organisations doivent bloquer ou restreindre étroitement le flux d’authentification du code de périphérique OAuth de Microsoft à l’aide de l’accès conditionnel. Des contrôles supplémentaires incluent la révocation proactive des jetons OAuth, la surveillance des enregistrements de périphériques non autorisés et la surveillance pour détecter les règles de boîte de réception nouvelles ou malveillantes. «
Modèle d’attaque professionnel
Le service Kali365 fournit des modèles, des tableaux de bord de gestion et des outils intégrés qui réduisent l’obstacle des compétences nécessaires à la mise en œuvre d’attaques à grande échelle pour l’acteur menaçant qui y est abonné. Les abonnements commencent à 250 $ pour 30 jours et vont jusqu’à 2 000 $ pour 365 jours.
Une fois inscrits, a déclaré Arctic Wolf, les affiliés de Kali365 peuvent rapidement générer des leurres de phishing de marque usurpant l’identité de services d’entreprise courants tels qu’Adobe Acrobat Sign, DocuSign et SharePoint. Le service comprend un système modulaire de génération de leurres qui permet aux acteurs malveillants de produire des centaines de variantes distinctes en mélangeant la localisation linguistique, la mise en page de la présentation, les usurpations d’identité de l’écosystème Microsoft et plusieurs formats de documents en anglais, espagnol, français, allemand, portugais, italien, néerlandais, japonais, coréen, chinois, arabe, turc, polonais et russe.
Beggs a noté que l’utilisation de leurres de phishing générés par l’IA, en supposant que l’IA ait été correctement entraînée contre l’entreprise cliente et fournie avec les contextes culturels appropriés, aboutit à des documents semblant dignes de confiance, difficiles à identifier et à bloquer lors d’une attaque à grande échelle.
Les abonnés peuvent profiter de huit modèles d’e-mails codés en dur, avec des lignes d’objet telles que « Message vocal de (avec de la place pour un nom) », « Signature requise », « Facture #INV », « Document partagé » et « Notification de compte pour (avec de la place pour une adresse e-mail).
Arctic Wolf a déclaré avoir également vu des cas où, après avoir obtenu un accès initial, l’acteur malveillant a créé des règles de boîte de réception malveillantes dans Microsoft 365, configurant des règles qui déplaçaient automatiquement les e-mails contenant des mots clés tels que « spam », « phishing », « clic », « lien » et « SharePoint » vers un dossier séparé et les marquaient comme lus. Ce comportement a effectivement supprimé les notifications et les avertissements liés à la sécurité adressés à l’utilisateur, permettant ainsi à l’acteur malveillant de maintenir l’accès tout en réduisant la probabilité de détection.
En mode code de périphérique, les victimes sont redirigées vers une page de destination obscurcie conçue pour s’afficher uniquement dans une véritable session de navigateur. Lors du chargement de la page, le backend Kali365 génère dynamiquement un code de périphérique Microsoft OAuth légitime.
Selon le FBI, l’attaque fonctionne alors comme de nombreuses autres escroqueries par phishing : un attaquant envoie un e-mail de phishing avec un message comprenant un lien vers une page de vérification Microsoft légitime et des instructions pour saisir le code généré. Ce code autorise l’appareil de l’attaquant à accéder au compte de la victime. Le backend Kali365 capture ensuite l’accès OAuth et actualise les jetons, donnant à l’acteur malveillant l’accès au compte Microsoft 365 de la personne/entité ciblée, y compris Outlook, Teams et OneDrive, jusqu’à ce que la compromission soit détectée et les jetons révoqués. Grâce à ces jetons, l’attaquant n’a pas besoin de saisir de mot de passe ni de relever des défis MFA supplémentaires.
Dans certains cas, a ajouté Arctic Wolf, après l’acquisition du jeton, l’acteur malveillant utilisait la session authentifiée pour enregistrer un appareil supplémentaire dans l’environnement Microsoft de la victime. Cette étape a étendu l’accès au-delà du jeton initial en établissant une association de périphérique de confiance liée au compte compromis.
Atténuation
Dans son alerte, le FBI a exhorté les administrateurs Microsoft 365 à restreindre le flux de code des appareils, car limiter ou bloquer les codes d’authentification des appareils peut aider à prévenir ou à minimiser ce type d’attaque. Ils doivent également créer des politiques d’accès conditionnel pour bloquer le flux de code des appareils pour tous les utilisateurs, avec des exceptions limitées pour les processus métier requis ; auditer l’utilisation du flux de code des appareils existant pour identifier les dépendances légitimes avant de créer une politique d’accès conditionnel ; et bloquez les politiques de transfert d’authentification pour empêcher les utilisateurs de transférer l’authentification des ordinateurs vers les appareils mobiles.
Si un administrateur ne peut pas restreindre complètement l’utilisation du flux de code de l’appareil, le FBI indique qu’il doit exclure les comptes d’accès d’urgence pour éviter les verrouillages.
Christopher Kayser, PDG de Cybercrime Analytics et auteur du livre, a déclaré que les services informatiques doivent trouver des moyens de rappeler aux employés qu’ils ne doivent pas cliquer rapidement sur des communications qui semblent inhabituelles ou potentiellement frauduleuses. Et ce ne sont pas seulement les employés ordinaires qui peuvent être touchés par des escroqueries par phishing, a-t-il souligné. Les niveaux supérieurs de direction ayant le pouvoir de transférer des fonds sont ciblés par les escroqueries Business Email Compromise (BEC).
En règle générale, a-t-il ajouté, lors de la connexion à M365, les utilisateurs ne sont pas invités à saisir un code ; il convient de leur rappeler qu’un e-mail demandant un code doit être un signal d’alarme déclenchant un appel au service informatique.
La sécurité centrée sur l’identité est essentielle
Fritz Jean-Louis, conseiller principal en cybersécurité chez Info-Tech Research Group, a déclaré que les défenseurs devraient passer à une sécurité centrée sur l’identité et traiter le phishing avant tout comme un risque de compromission d’identité.
Cela signifie non seulement appliquer une MFA résistante au phishing via des clés d’accès ou d’autres mesures de connexion approuvées par FIDO2, mais également renforcer les contrôles de session et surveiller les comportements d’authentification anormaux, y compris l’utilisation abusive des jetons et les activités OAuth suspectes.
Les administrateurs doivent également adopter une évaluation continue des accès, allant au-delà de l’authentification ponctuelle en évaluant dynamiquement les risques liés aux utilisateurs et aux appareils tout au long des sessions actives, permettant ainsi une réponse en temps réel à l’évolution des menaces.
En outre, les intervenants doivent exploiter les signaux comportementaux en mesurant l’activité et en encourageant les utilisateurs à signaler les comportements suspects, et en intégrant la télémétrie humaine, comme la vitesse de signalement et les modèles d’interaction, dans les stratégies de détection.
Jean-Louis a déclaré que les administrateurs doivent également réduire le rayon d’action de leur organisation en mettant en œuvre une surveillance plus stricte des flux sortants, des déclencheurs de confinement automatisés et des contrôles plus stricts sur l’utilisation abusive des comptes, afin de limiter la propagation latérale.
Enfin, il a recommandé aux administrateurs de segmenter les utilisateurs et les fonctions à haut risque en appliquant des contrôles de sécurité améliorés et en fournissant des environnements isolés pour les dirigeants, les finances et les rôles informatiques privilégiés.
