Un vrai groupe de pirates russes appelé Storm-237 a lancé une campagne de phishing qui s’adresse spécifiquement aux comptes Microsoft 365. Les attaquants utilisent une méthode d’authentification qui est réellement destinée aux appareils sans clavier, comme Microsoft Maintenant signalé.
La campagne s’adresse principalement aux organisations dans des secteurs critiques tels que le gouvernement, la défense, les télécommunications et l’industrie de l’énergie. Les institutions en Europe, en Amérique du Nord, en Afrique et au Moyen-Orient sont touchées.
Les attaquants sont habiles: tout d’abord, contactez vos victimes via des services de messagerie tels que WhatsApp, Signal ou Microsoft et faire semblant d’être des personnalités pertinentes. Après avoir établi une relation de confiance, il y a une fausse invitation à une réunion en ligne.
L’astuce réelle réside dans l’utilisation du code dit de périphérique. Cette méthode d’authentification est en fait destinée à des appareils tels que les téléviseurs intelligents qui ne permettent pas l’entrée de mot de passe directe. Grâce au code d’autorisation, les utilisateurs peuvent s’inscrire sur un appareil séparé tel qu’un smartphone ou un ordinateur. Les pirates génèrent un tel code et l’ajoutent à l’invitation de la réunion. Si la victime entrait ce code sur la page d’enregistrement légitime de Microsoft, le groupe a accès à ses services Microsoft 365.
Les attaquants utilisent un ID client spécial des courtiers d’authentification Microsoft, ce qui leur permet de générer de nouveaux jetons et d’enregistrer des appareils dans l’ID Microsoft ENSRA. Cela vous offre un accès à long terme aux comptes compromis et permet la compensation systématique des e-mails.
Mesures de protection
Microsoft recommande les contre-mesures suivantes:
- La désactivation du code de périphérique s’écoule dans la mesure du possible
- Mise en œuvre de politiques d’accès conditionnel strictes dans l’identifiant de Microsoft Entra
- En cas de suspicion: réinitialisation immédiate des jetons de rafraîchissement au moyen de «révocation-insistance»
- Surveillance régulière des protocoles d’enregistrement ENSRA-ID sur les activités suspectes
#Les #pirates #attaquent #Microsoft #avec #phishing #code #lappareil