Office 365 probablement abusé par une vaste attaque SolarWinds

Office 365 semble avoir joué un rôle dans la campagne d’attaques à grande échelle visant les utilisateurs de la plate-forme SolarWinds Orion.

Lors de l’attaque lancée sur Orion, les agresseurs ont réussi à intégrer un cheval de Troie dans la version officielle du logiciel Orion. Ce malware leur a donné l’accès à un grand nombre d’organisations tant publiques que privées. Plus tôt cette semaine, SolarWinds avait annoncé que quelque 18.000 clients ont installé une version vulnérable d’Orion.

L’agence Reuters signale sur base d’une source anonyme que les pirates à l’initiative de la campagne d’attaques à grande échelle visant les utilisateurs de la plate-forme SolarWinds Orion avaient eu accès aux comptes Microsoft Office 365 de deux victimes.

Les agresseurs ont pu des mois durant lire le trafic e-mail via Office 365 de la National Telecommunications and Information Administration, une composante du ministère américain du commerce. D’après les rumeurs, cela a été rendu possible en trompant l’authentification de la plate-forme.

Les comptes Office 365 de SolarWinds aussi piratés

SolarWinds même annonce en outre au SEC que les assaillants ont eu aussi accès aux comptes Office 365 de l’organisation. SolarWinds mène l’enquête, conjointement avec Microsoft, pour savoir si des données de clients ou d’employés ont été dérobées.

Le Microsoft Security Research Center avait indiqué dimanche dernier dans un communiqué posté sur son blog que les agresseurs étaient parvenus à falsifier un jeton pour Azure, afin d’obtenir des droits supplémentaires dans Azure Active Directory. Des données de login dérobées ont aussi été abusées pour s’attaquer à des comptes dépourvus de l’authentification multi-facteur.

Reprise d’un nom de domaine

Un important nom de domaine qui avait été abusé par les agresseurs en vue de communiquer avec les systèmes touchés, a été repris lundi par Microsoft, selon le chercheur en sécurité Brian Krebs de KrebsOnSecurity.

Microsoft prend assez souvent le contrôle de noms de domaine qui sont abusés lors de volumineuses cyber-attaques. Krebs s’attend à ce que Microsoft ait ainsi à court terme une meilleure vision sur le nombre exact de clients SolarWinds touchés. Les mesures que les clients touchés prennent cependant pour bloquer l’accès à ces domaines mal intentionnées, pourraient toutefois limiter la vision de Microsoft en la matière.

CRN a demandé à Microsoft si les agresseurs avaient également réussi à accéder à Microsoft même et dans quelle mesure la technologie de cette dernière a joué un rôle dans l’attaque. L’entreprise n’a pas souhaité répondre à ces questions.

En collaboration avec Dutch IT-Channel.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire