OAuth est devenu une norme essentielle pour la délégation d'accès dans les applications. Cependant, la multiplication des incidents impliquant des applications OAuth malveillantes, en particulier dans des plateformes comme Office 365, met en évidence une vulnérabilité importante. Cette vulnérabilité persiste même si des mesures d'authentification multifactorielle (MFA) sont en place.
Les limites de l'AFM dans la cybersécurité OAuth
Si l'authentification multi-facteurs (MFA) est une étape cruciale pour sécuriser les comptes en ligne, elle n'est pas infaillible. Les cyberattaquants développent continuellement des méthodes pour contourner ces mesures de sécurité, et l'une de ces méthodes implique l'utilisation d'applications OAuth Azure/O365 malveillantes. Les récentes attaques sophistiquées contre des entités gouvernementales et commerciales, comme l'a signalé le Premier ministre australien, mettent en évidence l'évolution du paysage des menaces.
Étude de cas : Application Office 365 OAuth malveillante
L'authentification multifactorielle (MFA) est une excellente mesure à prendre, mais il y a toujours des moyens de contourner les contrôles préventifs. L'une des techniques bien connues de contournement de l'AFM est l'installation d'applications OAuth Azure/O365 malveillantes. Au cas où il y aurait eu des doutes, les récentes attaques contre le gouvernement et les entreprises signalées par le Premier ministre australien constituent un rappel puissant. Les acteurs soutenus par l'État et responsables des attaques ont exploité OAuth, une technique standard utilisée pour la délégation d'accès dans les applications, afin d'obtenir un accès non autorisé aux comptes cloud tels que Microsoft Office 365.
D'après ce qui a été rapporté, les attaquants ont créé une application Office 365 malveillante à envoyer aux utilisateurs cibles dans le cadre d'un lien de spear phishing. L'application est présentée comme légitime ; dans ce cas, l'application a été nommée de la même manière qu'une solution de filtrage des courriels bien connue et largement utilisée par le gouvernement australien. Lorsqu'elle est reçue, l'application malveillante convainc la victime d'accorder la permission d'accéder aux données du compte de l'utilisateur. Il s'agit notamment de l'accès hors ligne, des informations sur le profil de l'utilisateur et de la possibilité de lire, déplacer et supprimer des courriels.
Une fois l'opération réussie, l'attaquant dispose d'un accès direct à un compte Office 365 interne. Une plateforme parfaite pour hameçonner d'autres cibles internes ou effectuer des actions malveillantes au sein d'Office 365 liées à SharePoint, OneDrive, Exchange et Teams.
La furtivité des applications OAuth malveillantes
Ces types d'attaques sont particulièrement insidieux car ils n'impliquent pas l'exécution d'un code malveillant sur le site endpoint, échappant ainsi à la détection par les logiciels de sécurité conventionnels endpoint . En outre, une application OAuth d'Office 365 légitimement construite peut fournir aux attaquants un accès permanent aux comptes d'utilisateurs, sans être affectée par les changements de mot de passe ou les protocoles MFA.
Perspectives d'avenir et mesures préventives
La prévalence des attaques d'applications OAuth malveillantes devrait augmenter, d'autant plus qu'Office 365 permet aux utilisateurs finaux d'installer des applications sans autorisation administrative. Une stratégie de cybersécurité solide doit inclure des solutions basées sur la détection, capables d'identifier et de répondre à des activités suspectes telles que des tentatives de connexion inhabituelles, des installations d'applications non autorisées et l'utilisation abusive des fonctionnalités natives d'Office 365.
Vectra CDR pour Office 365 - Une solution
Pour lutter contre ces menaces sophistiquées, Vectra Cloud Detection and Response for Office 365 offre une solution spécialisée. Elle se concentre sur l'analyse et la corrélation des événements qui indiquent des failles de sécurité potentielles, permettant ainsi aux équipes de sécurité de réagir de manière proactive. Pour plus d'informations, consultez notre fiche technique ou faites-en l'essai.