Notre recherche récemment publiée dans le rapport 2020 Spotlight Report for Office 365 identifie les outils et services de l'application cloud couramment exploités par les attaquants. En observant 4 millions de comptes Office 365 sur une période de 90 jours, nous avons pu identifier des comportements suspects à haut risque associés à des techniques d'attaque exploitant les capacités intégrées d'Office 365.
Cette recherche coïncide avec une transition massive vers le travail à distance - résultat de la pandémie actuelle de COVID-19 - et l'adoption croissante de plateformes SaaS, telles que Microsoft Office 365, en tant qu'espaces de travail numériques quotidiens. Alors qu'Office 365 fournit à la main-d'œuvre distribuée un domaine principal pour mener ses activités, il crée également un référentiel central de données et d'informations qui constitue une cible de choix pour les attaquants.
Bien que l' authentification multi-facteurs (MFA) soit la meilleure technique pour réduire la possibilité d'une brèche, les brèches dans Office 365 continuent de se produire. Les mesures de sécurité MFA ne suffisent plus à décourager les attaques malveillantes et insidieuses. Parmi ces attaques, les brèches Usurpation de compte sont celles qui se développent le plus rapidement et qui sont les plus répandues, ayant un impact négatif sur la réputation des organisations et entraînant des conséquences financières.
Comportements des attaquants dans Office 365
Une fois que les attaquants ont pris pied dans un environnement Office 365, plusieurs techniques courantes peuvent être utilisées, notamment :
- Recherche de mots de passe ou d'autres données intéressantes dans les courriels, l'historique des conversations et les fichiers.
- Mise en place de règles de transfert pour obtenir l'accès à un flux régulier de courrier électronique sans avoir à se connecter à nouveau.
- Utiliser le canal de communication de confiance (par exemple, envoyer un courriel illégitime à partir du compte officiel du PDG, utilisé pour influencer socialement les employés, les clients ou les partenaires).
- Placer des logiciels malveillants ou des liens malveillants dans des documents auxquels de nombreuses personnes font confiance et qu'elles utilisent, en manipulant à nouveau la confiance pour contourner les contrôles de prévention susceptibles de déclencher des alertes.
- Voler ou détenir des fichiers et des données contre une rançon
Comment font-ils ?
Le rapport Spotlight a constaté que parmi les services d'Office 365, trois en particulier se distinguaient par leur utilité pour une attaque. OAuth est utilisé pour prendre pied et persister, Power Automate est utilisé pour le commandement et le contrôle et le mouvement latéral, et eDiscovery est utilisé pour la reconnaissance et l'exfiltration.
1. OAuth est une norme ouverte pour l'authentification de l'accès.
Le code d'autorisation OAuth est souvent utilisé par des applications tierces pour authentifier les utilisateurs en utilisant les services de connexion d'Office 365 et les informations d'identification associées à l'utilisateur. Le code d'autorisation OAuth peut être utilisé dans les applications installées sur un appareil pour accéder aux ressources protégées, telles que les API Web. Les attaquants s'appuient sur des applications Azure malveillantes activées par OAuth pour maintenir un accès persistant aux comptes Office 365 des utilisateurs.
2. Power Automate permet aux utilisateurs de créer des intégrations personnalisées et des flux de travail automatisés entre les applications Office 365.
Il est activé par défaut et comprend des connecteurs vers des centaines d'applications et de services tiers, mais les flux peuvent contourner les politiques de sécurité, y compris la prévention des pertes de données (DLP). La grande disponibilité et la facilité d'utilisation de Power Automate en font également un outil partiellement utile aux attaquants pour orchestrer des comportements malveillants de commande et de contrôle et de mouvement latéral.
3. eDiscovery est un outil de découverte électronique qui permet d'effectuer des recherches dans les applications et les données d'Office 365 et d'exporter les résultats.
Les attaquants utilisent l'eDiscovery comme un puissant outil de reconnaissance interne et d'exfiltration de données - par exemple, ils peuvent rechercher "password" ou "pwd" dans Microsoft Outlook, Teams, tous les fichiers dans SharePoint et OneDrive, et les carnets OneNote à l'aide d'une simple commande.
En outre, les attaquants peuvent exploiter les vulnérabilités trouvées dans Azure Active Directory, Exchange et SharePoint une fois qu'ils ont acquis et exploité les informations d'identification et les accès privilégiés. Les attaquants peuvent élever leurs privilèges et effectuer des opérations de niveau administrateur après une visite régulière du site Usurpation de compte. Les adversaires auront également provisionné l'accès à un rôle sensible pour créer un accès redondant au système.
Cela ne veut pas dire que les services Office 365 sont faciles à infiltrer, mais plutôt que ce sont les autorisations attribuées à l'utilisateur et la manière dont elles sont utilisées. Les équipes de sécurité doivent disposer d'un contexte détaillé expliquant comment les entités utilisent leurs privilèges - connus sous le nom de privilèges observés - dans les applications SaaS comme Office 365.
Il s'agit de comprendre comment les utilisateurs accèdent aux ressources d'Office 365 et à partir d'où, mais sans examiner l'ensemble des données afin de protéger la vie privée. Il s'agit des schémas d'utilisation et des comportements, et non de l'accès statique.
Ce qu'il faut faire pour atténuer les risques
- Restreindre l'utilisation ou retirer la licence interne Power Automate à vos utilisateurs Office 365 qui n'ont pas de cas d'utilisation légitime.
- Passez en revue vos politiques de prévention des pertes de données Office 365 et utilisez une "zone professionnelle" pour restreindre l'accès de Power Automate à vos données professionnelles.
- Restreindre l'accès à l'eDiscovery aux utilisateurs d'Office 365 qui ont des cas d'utilisation légitimes
- Détection des menaces et réponse en temps réel pour identifier les utilisations suspectes et malveillantes des outils et services Office 365.
On ne saurait trop insister sur l'importance de surveiller l'utilisation abusive de l'accès des utilisateurs, compte tenu de sa prévalence dans les attaques réelles. Dans le paysage actuel de la cybersécurité, les mesures de sécurité telles que l'authentification multifactorielle ne suffisent plus à dissuader les attaquants. Les plateformes SaaS comme Office 365 sont un havre de paix pour les mouvements latéraux des attaquants, d'où la nécessité de se concentrer sur l'accès des utilisateurs aux comptes et aux services. Lorsque les équipes de sécurité disposent d'informations et d'attentes solides concernant les plateformes SaaS telles qu'Office 365, les comportements malveillants et les abus de privilèges sont beaucoup plus faciles à identifier et à atténuer.
Déployé en quelques minutes sans agent, Vectra Detect for Office 365 vous donne une visibilité sur la surface d'attaque de votre Office 365 et vous permet de.. :
- Détecter les activités suspectes d'un compte, telles que plusieurs tentatives de connexion échouées suivies d'un succès, et quels comptes ont été utilisés dans les deux scénarios.
- Soyez attentif à la création de flux Power Automate, à l'ajout de nouveaux comptes et à l'installation d'applications malveillantes.
- Découvrir l'escalade des privilèges, y compris l'ajout d'utilisateurs à des groupes
Le rapport Vectra 2020 Spotlight Report sur Office 365 démontre la valeur de détection et réponse aux incidents (NDR) lorsqu'il s'agit de découvrir des attaques et de permettre aux équipes de sécurité d'arrêter tout principe nuisible qui a été installé en raison d'un mouvement latéral.