Le logiciel malveillant EvilProxy vole des jetons de session en contournant l'authentification multifacteur (MFA) sur le compte de messagerie de la victime

Mise à jour du 29 août 2024 :  Ce Le fil de discussion Reddit fournit des instructions précieuses pour un moyen de prévenir ces attaques dans vos environnements O365, sans avoir besoin d'une licence E2 ou supérieure.

Une licence Microsoft E2 et supérieure vous permet d'activer l'accès conditionnel appelé «Exiger une protection par jeton pour les sessions de connexion.« Ce qui empêche les attaques par rejeu de jeton d'authentification comme celle-ci. Pourquoi Microsoft n'inclut-il pas cette protection à tous les niveaux de licence ?!?!

Comment se protéger contre les attaques par jeton d'authentification post-O365 sans licence E2 ou supérieure ?

Selon LookingatCrows, utilisateur de Reddit, vous pouvez définir des politiques d'accès conditionnel dans O365 pour empêcher la réutilisation de jetons d'authentification volés. Pour cela, suivez ces étapes :

1. Exiger un appareil conforme

Les appareils conformes doivent répondre à des exigences spécifiques définies dans Intune. Seuls les appareils Intune peuvent se voir attribuer des stratégies de conformité, ce qui est lié au paramètre d'accès conditionnel.  

2. Les plateformes de blocage ne sont pas autorisées pour l'utilisateur

Créez des appareils (a) hybrides, (b) Entra ou (c) issus d'un autre MDM via des intégrations. Bloquez également l'inscription personnelle des appareils. Ainsi, la connexion à une plateforme à partir de milliards d'appareils est désormais possible uniquement pour ceux appartenant à l'entreprise.

3. Limitez les emplacements des organisations lorsque cela est possible.

Il s’agit des protections de géolocalisation qui empêcheraient les utilisateurs de se connecter à distance depuis des pays ou des lieux non autorisés.

Mise à jour du 7 février 2024 – Les pirates informatiques intègrent des liens proxy malveillants dans des liens « Se désabonner » d’apparence inoffensive. 

Une récente expérience directe chez CyberHoot a révélé que des liens de désabonnement malveillants volaient des cookies de session pour les comptes e-mail et bancaire d'un utilisateur. Le pirate a volé la session e-mail et un jeton de session bancaire, ce qui a mis fin à l'attaque. Après avoir mis à jour l'adresse e-mail du compte bancaire et modifié le mot de passe de connexion, le service de lutte contre la fraude bancaire a appelé quelques minutes plus tard pour s'enquérir de l'activité. L'incident a été résolu en 30 minutes.

Leçons apprises de l'incident :

1. Ne baissez JAMAIS la garde face à un e-mail que vous recevez. Il peut s'agir d'une notification générale, d'une annonce caritative ou d'une publicité pour un club de sport. Il n'est pas nécessaire que le message soit urgent ou émotionnel. Avant de cliquer sur « Se désabonner », appliquez TOUTES les techniques d'hameçonnage que vous avez apprises. HootPhish (ou autres). Commencez par chercher typo-squatté domaines.
2. Assurez-vous que l’authentification multifacteur est activée sur tous vos comptes pour chaque activité, y compris les réinitialisations de mot de passe.
3. Gelez votre crédit partout.  Voici comment.
4. Produisez vos impôts tôtLors de cet incident, le pirate avait accès au numéro de sécurité sociale, à la date de naissance et à l'adresse de l'utilisateur. Tout ce dont il avait besoin pour usurper son identité ou déclarer ses impôts, afin d'obtenir un remboursement conséquent et juteux, envoyé à l'adresse de son choix.

10 août 2023 – Microsoft a signalé un grand nombre de comptes piratés malgré l'activation de l'authentification multifacteur (MFA) ; evilproxy est le coupable.

Les responsables de la sécurité des systèmes d'information (CISO) de CyberHoot ont subi deux (2) compromissions de comptes M365 au cours des dernières 24 heures. Nous avons mené des recherches pour identifier les causes possibles de piratage des comptes compatibles MFA. Voici ce que nous avons appris. Un incident a été signalé hier par Ordinateur Bleeping, dans lequel ils ont signalé que des pirates informatiques inconnus, probablement originaires de Grèce, ont ciblé plus de 120,000 365 comptes de messagerie Microsoft XNUMX en utilisant le logiciel malveillant « EvilProxy » dans leur attaque.

Aperçu du fonctionnement d'Evil Proxy :

La raison pour laquelle cela fonctionne si bien est que les sessions de la victime semblent fonctionner parfaitement lors de la connexion à son compte 365. La clé de session volée par le pirate lui permet de contourner l'authentification multifacteur (MFA) et de configurer un nouveau jeton MFA, de modifier les règles de transfert et de faire tout ce qu'il souhaite, car l'accès au compte de messagerie O365 de l'utilisateur piraté lui a déjà été accordé. Avertissement:Si vous n’êtes pas inquiet simplement parce que vous n’êtes pas un utilisateur de compte O365, détrompez-vous.  EvilProxy dispose de versions client qui attaquent également les comptes de messagerie Apple, Google, Twitter, GitHub, GoDaddy et PyPI. 

Une fois les pirates informatiques entrés, que se passe-t-il ensuite ?

1. Une fois qu’un compte Microsoft 365 est compromis, les acteurs de la menace ajoutent leur propre méthode d’authentification multifacteur (via l’application Authenticator avec notification et code) pour établir la persistance.
2. Ils peuvent également ajouter des « règles » de messagerie pour masquer leur présence et les communications qu'ils effectuent. Souvent, ils récupèrent toutes les adresses e-mail avec lesquelles une personne a communiqué et lancent une campagne d'hameçonnage similaire pour exploiter la confiance accordée par les contacts du titulaire du compte de messagerie compromis.Cet e-mail provient du directeur financier de l'entreprise. Je fais confiance à cette personne ; je clique sur son document Adobe ou sa pièce jointe PDF et je m'authentifie pour le consulter."

Comment améliorer les protections contre EvilProxy dans vos systèmes de messagerie :

1. Implémentez l'accès conditionnel à votre messagerie via votre licence Microsoft afin de limiter les connexions à des appareils et des zones géographiques spécifiques. Si votre licence le permet, pensez à activer « Voyage impossible« restrictions.
2. Si disponible, utilisez Microsoft InTune pour refuser l'accès aux appareils non approuvés (configurez une telle politique dans votre propre solution de gestion des appareils mobiles spécifique).
3. Activez et exploitez les méthodes d’authentification sans mot de passe telles que Windows « Hello » for Business (mais notez que votre organisation doit disposer d’appareils compatibles avec l’identification biométrique [reconnaissance du visage, des empreintes digitales ou de l’iris]).
4. Envisagez d'utiliser un jeton matériel pour la méthode MFA (clés de sécurité FIDO2). Notez que cela nécessite également des appareils compatibles biométriques.

Autres mesures à prendre en compte :

1. Formez les employés à repérer et à supprimer les attaques de phishing.
2. Testez vos employés avec des simulations d'hameçonnage innovantes, comme l'offre HootPhish de CyberHoot. Il s'agit d'une simulation et d'un test d'hameçonnage positifs, pédagogiques et basés sur des exercices. Cette simulation permet aux employés d'acquérir une meilleure connaissance des techniques informatiques et de détecter les attaques d'hameçonnage de manière autonome, sûre et efficace.

Que faire après une attaque ?

1. Réinitialisez le mot de passe de la victime et révoquez toutes les sessions connectées.  Veuillez noter : Microsoft 365 ne peut pas révoquer ses jetons de session. Un pirate informatique peut donc rester actif sur le compte entre une heure et une journée..
2. Révoquez toutes les modifications inattendues apportées aux configurations MFA sur le compte.
3. Recherchez et supprimez toutes les « règles » de manipulation inattendues de la boîte de réception.
4. Désactiver les règles de transfert externes (NoteCette opération peut être effectuée au niveau du domaine pour tous les comptes utilisateurs et peut s'avérer judicieuse pour l'avenir. Assurez-vous d'obtenir les autorisations nécessaires avant de désactiver toute redirection.)
5. Méfiez-vous des e-mails contenant typo-squatté domaines.
6. Rechercher des preuves d'identifiants de session volés.
7. Activité anormale provenant d'adresses IP ou d'emplacements inhabituels dans les journaux d'audit de messagerie des comptes compromis.
8. Exécutez une analyse anti-malware sur l'appareil concerné. Bien que ce phénomène ne soit pas souvent associé à des logiciels malveillants, il a tendance à se propager à d'autres sources de compromission, notamment le dépôt de logiciels malveillants.

Sources:

https://radius.ie/evilproxy/Détecter et corriger les voyages impossibles avec MicrosoftArticle sur la campagne d'hameçonnage EvilProxy de Bleeping Computer

Sécurisez votre entreprise avec CyberHoot dès aujourd'hui !!!

S'inscrire maintenant