Les clients Azure font face à la plus grande menace pour leurs comptes privilégiés. Une entreprise de cybersécurité a identifié la propagation d’une nouvelle campagne de phishing visant les utilisateurs privilégiés tels que les directeurs commerciaux, les gestionnaires de comptes, les gestionnaires financiers, les vice-présidents, les présidents, les directeurs financiers et les PDG. La première vague d’attaques de cette campagne a commencé vers novembre 2023 et représente toujours une menace imminente. La bonne nouvelle est que vous pouvez vous protéger et atténuer cette attaque.
Le plan d’attaque expliqué
L’attaque est initiée en envoyant des emails de phishing pour obtenir les identifiants de compte Microsoft 365 des utilisateurs privilégiés d’une organisation. Lorsqu’une victime clique sur le lien dans l’email de phishing et est redirigée vers le site web des attaquants, un fichier de charge utile est téléchargé sur sa machine pour cibler ses applications Microsoft 365.
Une fois le compte Microsoft 365 compromis, les attaquants accèdent à toutes les données et paramètres de l’utilisateur. Pour étendre leur emprise sur l’accès qu’ils ont exploité, les attaquants créent les obstacles suivants :
- MFA : Les attaquants remplacent l’authentification à un seul facteur de l’utilisateur affecté par leurs propres méthodes MFA, comme une adresse email alternative, un numéro de téléphone, ou Microsoft Authenticator. Cela leur donne amplement le temps de semer le chaos jusqu’à ce que la MFA de l’utilisateur soit réinitialisée, car l’utilisateur n’aura pas accès aux facteurs d’authentification.
- Proxies alternés : Les attaquants utilisent des proxies pour masquer leurs lieux de connexion et adresses IP, leur permettant de dissimuler leur véritable localisation et d’imiter les comportements de connexion de l’utilisateur original.
- Phishing interne : Les pirates tentent d’élargir leur accès en envoyant des emails de phishing personnalisés à partir du compte interne compromis et en exploitant d’autres comptes pour se déplacer latéralement au sein de l’organisation. Puisque l’email semble provenir d’un utilisateur interne légitime, les autres utilisateurs sont moins susceptibles de le reconnaître comme un spam potentiel.
- Modifications des règles de boîte aux lettres : Les attaquants modifient les règles de boîte aux lettres existantes ou en créent de nouvelles pour supprimer, réduire ou obscurcir toute trace d’activité malveillante des boîtes aux lettres affectées afin de couvrir leurs traces.
Comment vous protéger contre une attaque de phishing ?
Les mesures suivantes peuvent vous aider à prévenir ou à vous protéger contre les attaques de phishing.
- Mettre en œuvre la MFA : Identifiez les points d’intérêt pour les attaquants et remédiez-y. Cela peut inclure des comptes protégés uniquement par une authentification à un seul facteur, des politiques qui ne peuvent pas identifier les tentatives de force brute à temps, et des comptes privilégiés ayant accès à des données dont ils n’ont probablement pas besoin. Assurez-vous que vos comptes privilégiés sont sécurisés en utilisant des méthodes MFA strictes pour garantir que seuls les utilisateurs autorisés peuvent y accéder.
- Gestion stricte centralisée : Surveillez tous vos comptes privilégiés en utilisant une unité administrative unique et en mettant en œuvre des politiques d’accès conditionnel strictes.
- Planifiez à l’avance pour les violations : Ayez un plan d’action sur quoi faire si vos comptes sont compromis. Une fois les comptes affectés identifiés, bloquez-les de tous les services immédiatement, forcez leur déconnexion pour prévenir tout effet sur l’environnement Microsoft 365, et réinitialisez leurs identifiants et facteurs d’accès.
Comment ManageEngine peut aider contre les attaques de phishing
ManageEngine M365 Manager Plus est une solution d’administration Microsoft 365 qui vous aide à sécuriser les comptes privilégiés. Elle vous permet d’avoir une meilleure visibilité sur votre environnement, d’effectuer toutes vos tâches requises en masse facilement sans recourir aux scripts PowerShell, de créer des profils d’audit et d’alerte personnalisés pour vous informer des activités spécifiques à suivre, et de créer des automatisations pour effectuer des actions de manière séquentielle sans intervention humaine.
Voici comment vous pouvez utiliser M365 Manager Plus à votre avantage pour vous protéger contre les violations :
Séparez les utilisateurs privilégiés avec une authentification à un seul facteur dans un locataire virtuel unique
Dans M365 Manager Plus, vous pouvez créer des locataires virtuels pour regrouper les objets utilisateur qui répondent à certaines conditions sous un seul point de contrôle, tout comme une unité administrative. Regroupez tous vos comptes privilégiés en un seul endroit pour une génération de rapports facile, l’exécution de tâches et des audits fréquents — sans avoir besoin de traiter d’autres comptes.
Créez des profils pour suivre les changements dans les configurations MFA
Puisque la manière la plus efficace pour les attaquants de couvrir leurs traces est d’activer la MFA, la meilleure façon d’identifier et d’agir sur la présence des attaquants est de suivre cette activité dès qu’elle se produit. M365 Manager Plus peut être configuré pour suivre si la MFA est activée ou désactivée pour les utilisateurs dans votre environnement ou dans un locataire virtuel particulier. Une fois un changement effectué, les administrateurs sont notifiés par emails avec tous les détails nécessaires pour prendre d’autres mesures correctives sur les objets.
Configurez des politiques d’automatisation pour accélérer les actions correctives
Traditionnellement, une fois que vous obtenez une liste d’utilisateurs affectés, vous devez révoquer leur accès utilisateur, les bloquer et réinitialiser leurs méthodes MFA et mots de passe. Cependant, en configurant des politiques d’automatisation dans M365 Manager Plus, vous n’aurez besoin que de révoquer l’accès Azure des utilisateurs, et les autres actions seront effectuées automatiquement.
Vous pouvez télécharger l’essai gratuit de 30 jours de M365 Manager Plus pour voir ces fonctionnalités en action par vous-même et explorer les autres fonctionnalités que cet outil a à offrir. Vous pouvez également nous contacter pour une démo personnalisée gratuite sur la configuration de ces paramètres pour sécuriser votre environnement.
Source : Why you should be concerned about the largest phishing attack on Azure so far, and what you can do about it by Ashwin Kumar
