Comment les cyberattaquants se servent des outils Microsoft 365 pour dérober les données des entreprises ?

Vectra® publie les résultats de son dernier rapport Spotlight, dédié aux attaques exploitant Microsoft 365 ( la Suite Office ainsi que l’ensemble des services en ligne intégrés, tels que Teams, OneDrive, SharePoint, etc.).

Les attaques visant les comptes d’utilisateurs de solutions SaaS font partie des problèmes les plus fréquents des entreprises et enregistrant la plus forte croissance. Ce constat ne date pas du passage soudain et massif au télétravail imposé par la pandémie de Covid‑19. Alors que de nombreuses entreprises intensifient leur usage de logiciels Cloud, Microsoft domine largement le segment avec plus de 250 millions d’utilisateurs actifs chaque mois. Microsoft 365 est en effet la plateforme adoptée par bon nombre de ces utilisateurs pour le partage de données, le stockage et la communication d’entreprise, ce qui en fait une cible particulièrement convoitée par les cybercriminels.

Chris Morales, Responsable des analyses de sécurité chez Vectra explique : « Avec le nouveau paradigme du travail à domicile, le détournement des comptes d’utilisateurs dans Microsoft 365 est le moyen le plus efficace pour un attaquant de se déplacer latéralement dans le réseau d’une entreprise. Cette tendance devrait s’amplifier dans les mois à venir. Les attaquants continueront à exploiter les comportements humains, l’ingénierie sociale et le vol d’identité pour s’introduire dans n’importe quel type d’entreprise et dérober ses données ».

Malgré la mise en place croissante de mesures de protection des comptes d’utilisateurs, telles que l’authentification multifacteur, 40 % des entreprises souffrent encore d’atteintes à la sécurité de Microsoft 365, lesquelles entraînent des pertes financières considérables et nuisent gravement à leur réputation. Selon une récente étude du cabinet d’analystes Forrester Research, le montant annuel des pertes liées aux détournements de comptes dans différents secteurs serait compris entre 6,5 et 7 milliards de dollars.

Dans le cadre de son traditionnel Spotlight report, Vectra a analysé les attaques menées chez ses clients utilisateurs de Microsoft 365 (soit 4 millions de comptes). Les principales conclusions du Rapport Spotlight 2020 de Vectra sur Microsoft 365 sont les suivantes.

Tout d’abord, de nombreux attaquants cherchent à compromettre les outils et services Microsoft 365 au moyen de techniques « simples ». Vectra dresse la liste des techniques les plus courantes :
- Recherche dans les e-mails, l’historique des chats et les fichiers à la recherche de mots de passe ou de données intéressantes.
- Mise en place de règles de transfert pour disposer d’un accès à un flux constant d’emails sans avoir à se reconnecter.
- Travail d’ingéniérie sociale en vue de réaliser une fraude au Président par email.
- Installer des malwares ou des liens malveillants dans des documents, pour contourner les contrôles de prévention qui peuvent déclencher des alertes.
- Voler ou prendre en otage des fichiers/données en vue d’obtenir une rançon.

Les cybercriminels avancés peuvent lancer des attaques beaucoup plus sophistiquées nécessitant un travail préparatoire plus long ainsi que des outils adaptés. En compromettant des outils et fonctionnalités légitimes de Microsoft 365 (l’authentification OAuth ou le MFA Microsoft, les outils de recherche eDiscovery, etc.) ils parviennent à pénétrer les systèmes et contourner les contrôles de sécurité, tout en demeurant cachés.

Vectra a également pu observer chez ses clients utilisateurs de Microsoft 365 les principaux comportements des attaquants détectés par ses outils. Dans l’ordre :
- Des déplacements latéraux chez 96% des clients analysés
- Mise en place d’une communication Command & Control chez 93% des clients
- Exfiltration de données chez 73% des clients
- Actions de reconnaissance 56% d’entre eux.

Le rapport repose sur la participation de 4 millions de comptes Microsoft 365 suivis par Vectra de juin à août 2020, soit au cours des 90 premiers jours du lancement du produit SaaS Cognito Detect™ pour Office 365 de l’éditeur.

Source : https://www.globalsecuritymag.fr/Comment-les-cyberattaquants-se,20201013,103783.html