De nouvelles preuves au milieu de l’enquête en cours sur la campagne d’espionnage ciblant SolarWinds ont révélé une tentative infructueuse de compromettre la société de cybersécurité Crowdstrike et d’accéder au courrier électronique de l’entreprise.
Cette tentative de piratage a été signalée à l’entreprise par le Threat Intelligence Center de Microsoft le 15 décembre, qui a identifié le compte Microsoft Azure d’un revendeur tiers comme faisant des « appels anormaux » aux API cloud de Microsoft pendant une période de 17 heures il y a plusieurs mois.
Le compte Azure du revendeur concerné non divulgué gère les licences Microsoft Office pour ses clients Azure, y compris CrowdStrike.
Bien qu’il y ait eu une tentative d’acteurs de menace non identifiés pour lire des e-mails, elle a finalement été déjouée car l’entreprise n’utilise pas le service de messagerie Office 365 de Microsoft, CrowdStrike m’a dit.
L’incident fait suite à l’attaque de la chaîne d’approvisionnement de SolarWinds révélée plus tôt ce mois-ci, entraînant le déploiement d’une porte dérobée secrète (alias « Sunburst ») via des mises à jour malveillantes d’un logiciel de surveillance de réseau appelé SolarWinds Orion.
Depuis la divulgation, Microsoft, Cisco, VMware, Intel, NVIDIA et un certain nombre d’agences gouvernementales américaines ont confirmé avoir trouvé des installations Orion contaminées dans leurs environnements.
Le développement intervient une semaine après que le fabricant de Windows, lui-même client de SolarWinds, ait nié que des pirates informatiques s’étaient infiltrés dans ses systèmes de production pour lancer de nouvelles attaques contre ses utilisateurs et trouvé des preuves d’un groupe de piratage séparé abusant du logiciel Orion pour installer une porte dérobée distincte appelée «Supernova».
Cela coïncide également avec un nouveau rapport du Washington Post aujourd’hui, qui allègue que des pirates informatiques du gouvernement russe ont violé les clients du cloud Microsoft et volé des e-mails d’au moins une entreprise du secteur privé en profitant d’un revendeur Microsoft qui gère les services d’accès au cloud.
Nous avons contacté Microsoft et nous mettrons à jour l’histoire si nous avons une réponse.
CrowdStrike a également publié CrowdStrike Reporting Tool pour Azure (CRT), un outil gratuit qui vise à aider les organisations à examiner les autorisations excessives dans leurs environnements Azure Active Directory ou Office 365 et à déterminer les faiblesses de configuration.
En outre, la Cybersecurity Infrastructure and Security Agency (CISA) des États-Unis a créé séparément un utilitaire open source similaire appelé Moineau pour aider à détecter d’éventuels comptes et applications compromis dans les environnements Azure ou Office 365.
« L’outil est destiné à être utilisé par les intervenants en cas d’incident et se concentre étroitement sur l’activité qui est endémique aux récentes attaques basées sur l’identité et l’authentification observées dans plusieurs secteurs », CISA m’a dit.
De son côté, SolarWinds a mis à jour son avis de sécurité, exhortant les clients à mettre à jour le logiciel Orion Platform vers la version 2020.2.1 HF 2 ou 2019.4 HF 6 afin d’atténuer les risques associés aux vulnérabilités Sunburst et Supernova.
