Solarwinds : Microsoft continue d’en faire les frais
Le groupe Nobelium, qui s’est fait connaître par l’attaque ayant visé SolarWinds – une attaque au cours de laquelle une porte dérobée a été implantée dans des milliers d’organisations avant de viser neuf agences fédérales américaines et une centaine d’entreprises américaines pour compromettre et voler des informations – s’attaque maintenant à Microsoft.
Dans une mise à jour publiée vendredi, Microsoft a déclaré avoir découvert un “logiciel malveillant voleur d’informations” sur la machine d’un de ses agents d’assistance qui avait accès aux “informations de base sur les comptes d’un petit nombre de nos clients”.
“L’acteur a utilisé ces informations dans certains cas pour lancer des attaques très ciblées dans le cadre de sa campagne plus large. Nous avons réagi rapidement, supprimé l’accès et sécurisé l’appareil”, a déclaré l’entreprise.
“L’enquête est en cours, mais nous pouvons confirmer que nos agents d’assistance sont configurés avec l’ensemble minimal de permissions requises dans le cadre de notre approche Zero Trust aux informations des clients. Nous notifions tous les clients impactés et nous les soutenons pour que leurs comptes restent sécurisés.”
Microsoft a recommandé d’utiliser l’authentification multifactorielle et les architectures zero trust pour aider à protéger les environnements.
Redmond a récemment averti que Nobelium menait une campagne de phishing en se faisant passer pour l’USAID après avoir réussi à prendre le contrôle d’un compte USAID sur la plateforme de marketing par courriel Constant Contact.
La campagne de phishing visait environ 3 000 comptes liés à des agences gouvernementales, des think tanks, des consultants et des organisations non gouvernementales, a indiqué Microsoft.
Dans sa mise à jour de vendredi, Microsoft a déclaré qu’elle avait continué à voir des “attaques de type password spraying et par force brute.”
“Cette activité récente a été infructueuse dans la plupart des cas, et la majorité des cibles n’ont pas été compromises avec succès – nous avons connaissance de trois entités compromises à ce jour”, a déclaré Microsoft.
“Tous les clients qui ont été compromis ou ciblés sont contactés par le biais de notre processus de notification des attaques par un groupe soutenu par un gouvernement.”
Un pilote malveillant signé Microsoft
Dans un deuxième post vendredi, Microsoft a admis qu’un pilote malveillant a réussi à contourner les protections mises en place pour être signé par Microsoft.
“L’activité de l’acteur se limite au secteur des jeux, en particulier en Chine, et ne semble pas viser les environnements d’entreprise. Nous ne l’attribuons pas à un acteur soutenu par un gouvernement pour le moment”, a déclaré la société.
“L’objectif de l’acteur est d’utiliser le pilote pour usurper la géolocalisation afin de tromper le système et jouer de n’importe où. Le malware leur permet d’obtenir un avantage dans les jeux et éventuellement d’exploiter d’autres joueurs en compromettant leurs comptes grâce à des outils courants comme les enregistreurs de frappe.”
À la suite de cet incident, Microsoft a déclaré qu’il allait “affiner” ses politiques et ses processus de validation et de signature.
Microsoft a ajouté que les pilotes malveillants seraient bloqués par ses applications Defender.
Alors que Microsoft a qualifié le malware de pilote, Karsten Hahn de G Data, qui a découvert le malware et l’a baptisé Netfilter, l’a qualifié de rootkit.
“Au moment où nous écrivons ces lignes, nous ne savons toujours pas comment le pilote a pu passer le processus de signature”, écrit-il.
Hahn a déclaré qu’une recherche dans Virustotal a permis de trouver des échantillons de signatures remontant au mois mars.
Le malware Netfilter dispose d’un mécanisme de mise à jour après avoir contacté une adresse IP particulière, installé un certificat racine et mis à jour les paramètres du proxy, a déclaré Hahn.
Selon Microsoft, pour que l’attaque fonctionne, les attaquants doivent disposer des privilèges d’administrateur pour que le programme d’installation puisse mettre à jour les clés de registre et installer le pilote, ou convaincre l’utilisateur de le faire lui-même.
Source : “ZDNet.com”
