Microsoft a révélé qu'une intrusion malveillante avait été repérée sur Outlook le 11 juillet 2023. Un groupe de hackers chinois a utilisé une clé de compte Microsoft (MSA) pour parvenir à ses fins.
Les services proposés par Microsoft sont souvent la cible d'attaques informatiques. Après OneDrive transformé en ransomware et l'attaque sur Teams, c'est le service de messagerie Outlook, récemment rafraîchi sur Windows 11, qui est le sujet d'un article publié le 6 septembre par Microsoft Security Response. Celui-ci a été attaqué par un groupe de hackers venus de Chine, connu sous le nom de Storm-0558. Comment cette attaque s'est-elle produite, et comment a réagi Microsoft pour renforcer sa sécurité ?
Les failles de sécurité dévoilées
Le groupe Storm-558 s'est d'abord procuré une clé de compte Microsoft (MSA). Celle-ci est normalement utilisée pour que les utilisateurs puissent accéder à leurs comptes, mais cette fois, les hackers s'en sont servi pour générer de faux tokens. Pour mieux comprendre, il faut imaginer qu'un token est en quelque sorte un jeton d'authentification qui permet l'accès à certains services de Microsoft. Grâce à ces tokens contrefaits, les hackers se sont ensuite introduits dans Outlook.com et Outlook Web App. Une mesure de contournement inquiétante de simplicité.
La gestion des « crashs dumps » a également été mise en cause. En informatique, le crash dump est un registre qui liste tous les événements qui ont conduit à un plantage d'une application ou d'un système. C'est un ensemble de données très important pour les développeurs, qui peuvent ainsi voir en détail ce qu'il s'est passé avant un crash logiciel.
Logiquement, cette clé sensible générée par les hackers ne devrait pas s'y retrouver, mais c'était malgré tout le cas. La clé s'est même retrouvée dans l'environnement logiciel de débogage, directement sur le réseau de l'entreprise. Des informations très sensibles ont donc été exposées.
Origines de l'erreur et correctifs apportés
Si Storm-558 a réussi si brillamment son coup, c'est qu'une erreur humaine a été à l'origine de ce cafouillis. En 2018, Microsoft avait introduit une nouvelle fonctionnalité qui permettait l'utilisation d'une clé commune entre les comptes pour particuliers et les comptes d'entreprises. Une bonne idée, sauf que les développeurs n'ont pas mis à jour ni protégé suffisamment le processus de « scope validation ». Il s'agit d'une mesure de sécurité qui vise à vérifier si x ou y entité peut accéder à une fonctionnalité ou ressource en particulier, si elle dispose des autorisations nécessaires. Résultat : Outlook acceptait automatiquement des demandes formulées à destination de comptes d'entreprises, même si elles étaient signées avec une clé MSA de particulier.
Microsoft a réagi très rapidement et identifié le moyen par lequel la clé s'était retrouvée dans le crash dump. L'entreprise a également augmenté la solidité de ses protections pour pouvoir détecter plus facilement la présence d'éléments non souhaités dans ce registre d'erreurs. La scope validation a elle aussi été mise à jour pour éviter les validations automatiques si elles n'ont pas lieu d'être. Une bonne leçon à tirer de cet événement : ne jamais considérer la sécurité interne d'une entreprise comme acquise, encore plus lorsque l'on s'appelle Microsoft.
- storage15 Go de stockage
- securityChiffrement natif en option
- alternate_emailPas de domaine personnalisé
- smartphoneApplications iOS, Android
- push_pinJurisdiction USA
Source : Microsoft Security Response