Pourquoi faut-il s'inquiéter de la plus grande attaque de phishing jamais enregistrée sur Azure, et ce que l'on peut faire pour y remédier ?

Les clients Azure sont confrontés à la plus grande menace qui pèse sur leurs comptes privilégiés. Une société de cybersécurité a identifié la propagation d'une nouvelle campagne de phishing visant les utilisateurs privilégiés tels que les directeurs commerciaux, directeurs de comptes, directeurs financiers, vice-présidents, présidents, directeurs administratifs et PDG. La première série d'attaques de la campagne a commencé vers novembre 2023 et constitue toujours une menace. L'avantage est que vous pouvez vous prémunir contre cette attaque et l'atténuer.

Le plan d'attaque expliqué

L'attaque est initiée par l'envoi d'emails de phishing pour obtenir les identifiants de compte Microsoft 365 des utilisateurs privilégiés d'une entreprise. Lorsqu'une victime clique sur le lien contenu dans l'email de phishing et est envoyée sur le site web des attaquants, un fichier de charge utile est téléchargé sur son ordinateur pour cibler ses applications Microsoft 365.

Une fois le compte Microsoft 365 piraté, les attaquants ont accès à toutes les données et à tous les paramètres de l'utilisateur. Pour étendre leur emprise sur l'accès qu'ils ont exploité, les attaquants créent les obstacles suivants :

• MFA : Les attaquants remplacent l'authentification à facteur unique de l'utilisateur affecté par leurs propres méthodes MFA, comme une autre adresse e-mail, un numéro de téléphone ou Microsoft Authenticator. Cela leur donne amplement le temps de faire des ravages jusqu'à ce que le MFA de l'utilisateur soit réinitialisé, car l'utilisateur n'aura pas accès aux facteurs d'authentification.

• Proxys alternés : Les attaquants utilisent des proxys pour dissimuler leurs lieux de connexion et leurs adresses IP, ce qui leur permet de dissimuler leur véritable localisation et d'imiter les comportements de connexion de l'utilisateur d'origine.

• Phishing interne : les pirates tentent d'élargir leur accès en envoyant des emails de phishing personnalisés à partir du compte interne compromis et en utilisant d'autres comptes pour se déplacer latéralement au sein de l'entreprise. Comme l'email semble provenir d'un utilisateur interne légitime, les autres utilisateurs sont moins susceptibles de le reconnaître comme un spam potentiel.

• Modifications des règles de la boîte aux lettres : Les attaquants modifient les règles des boîtes aux lettres existantes ou en créent de nouvelles afin de supprimer, d'expurger ou d'obscurcir toute trace d'activité malveillante dans les boîtes aux lettres affectées, afin de brouiller les pistes.

Comment se protéger contre une attaque de phishing ?

Les mesures suivantes peuvent vous aider à prévenir les attaques de phishing ou à vous en prémunir.

• Mettre en œuvre le MFA : Identifiez les points d'intérêt pour les attaquants et y remédier. Il peut s'agir de comptes protégés uniquement par une authentification à facteur unique, de stratégies qui ne peuvent pas identifier à temps les tentatives de brute force, et de comptes privilégiés ayant accès à des données dont ils n'ont probablement pas besoin. Assurez-vous que vos comptes privilégiés sont sécurisés à l'aide de méthodes MFA strictes afin de garantir que seuls les utilisateurs autorisés peuvent y accéder.

• Centraliser la gestion stricte : Gardez un œil sur tous vos comptes à privilèges en utilisant une seule unité administrative et en mettant en œuvre des stratégies d'accès conditionnel strictes.

• Prévoir les brèches : Préparez un plan d'action sur ce qu'il faut faire si vos comptes sont compromis. Une fois que les comptes concernés ont été identifiés, bloquez-les immédiatement à partir de tous les services, déconnectez-les de force pour éviter tout effet sur l'environnement Microsoft 365 et réinitialisez leurs identifiants et facteurs d'accès.

Comment ManageEngine peut aider à lutter contre les attaques de phishing

ManageEngine M365 Manager Plus est une solution d'administration Microsoft 365 qui vous aide à sécuriser les comptes privilégiés. Elle vous permet d'obtenir une meilleure visibilité sur votre environnement, d'exécuter toutes vos tâches requises en masse facilement sans avoir recours à des scripts PowerShell, de créer des profils d'audit et d'alertes personnalisés pour vous informer des activités spécifiques à suivre, et de créer des automatisations pour exécuter des actions de manière séquentielle sans aucune intervention humaine.

Voici comment vous pouvez utiliser M365 Manager Plus à votre avantage pour vous protéger contre les violations :

Séparer les utilisateurs privilégiés avec authentification à facteur unique dans un seul tenant virtuel

Dans M365 Manager Plus, vous pouvez créer des tenants virtuels pour héberger des objets utilisateur qui remplissent certaines conditions sous un point de contrôle unique, tout comme une unité administrative. Consolidez tous vos comptes privilégiés en un seul endroit pour faciliter la génération de rapports, l'exécution de tâches et les audits fréquents, sans avoir à traiter d'autres comptes.

Créer des profils pour suivre les modifications apportées aux configurations MFA

Étant donné que le moyen le plus efficace pour les attaquants de brouiller les pistes est d'activer le MFA, la meilleure façon d'identifier la présence des attaquants et d'agir en conséquence est de suivre cette activité dès qu'elle se produit. M365 Manager Plus peut être configuré pour suivre l'activation ou la désactivation MFA pour les utilisateurs de votre environnement ou d'un tenant virtuel particulier. Dès qu'un changement a lieu, les administrateurs sont avertis par e-mail avec tous les détails nécessaires pour prendre des mesures correctives sur les objets.

Mettre en place des stratégies d'automatisation pour accélérer les actions correctives

Traditionnellement, une fois que vous obtenez une liste des utilisateurs concernés, vous devez révoquer leur accès utilisateur, les bloquer et réinitialiser leurs méthodes MFA et leurs mots de passe. Cependant, en configurant des stratégies d'automatisation dans M365 Manager Plus, vous n'aurez qu'à révoquer l'accès Azure des utilisateurs, et les autres actions seront exécutées automatiquement.

Vous pouvez télécharger la version d'essai gratuite de 30 jours de M365 Manager Plus pour voir ces fonctionnalités en action et explorer les autres fonctionnalités offertes par cet outil. Vous pouvez également nous contacter pour une démo gratuite et personnalisée sur la mise en place de ces fonctionnalités pour sécuriser votre environnement.