Vendredi, Microsoft a révélé qu’une erreur dans son code source permettait à un acteur malveillant connu sous le nom de Storm-0558 de créer de faux jetons Azure Active Directory (Azure AD). L’acteur a pénétré dans deux douzaines d’organisations en utilisant une clé de signature du consommateur du compte Microsoft (MSA).

Storm-0558 a obtenu une clé de signature de consommateur MSA inactive, qu’il a ensuite utilisée pour fabriquer des jetons d’authentification pour Azure AD enterprise et les consommateurs MSA. Ces jetons leur permettaient d’accéder sans autorisation à OWA et Outlook.com. Dans son examen approfondi de la situation, Microsoft a déclaré qu’elle enquêtait toujours sur la manière dont l’acteur avait obtenu la clé.

Bien que la clé soit destinée uniquement aux comptes MSA, une erreur de validation a permis de l’utiliser pour la signature de jetons Azure AD. Ce problème a toutefois été abordé et corrigé.

On ne sait pas si ce problème de validation des jetons a été exploité comme une vulnérabilité inconnue (« zero-day ») ou si Microsoft était déjà conscient du problème avant son exploitation.

Les attaques ont visé environ 25 organisations, y compris des entités gouvernementales et des comptes de consommateurs liés, pour un accès non autorisé au courrier électronique et un vol de données dans les boîtes aux lettres. Il est précisé qu’aucun autre environnement n’a été affecté.

L’incident a été porté à l’attention de Microsoft après que le département d’État américain a remarqué une activité de courrier électronique suspecte liée à l’accès aux données d’Exchange Online. On suppose que Storm-0558 est un acteur chinois qui se livre à des activités cybernétiques malveillantes relevant de l’espionnage. La Chine a toutefois démenti ces affirmations.
Lire aussi : « Meta suspend l’accès de l’UE à l’application Threads en raison d’inquiétudes d’ordre réglementaire ».

Le groupe de pirates informatiques a ciblé des entités diplomatiques, économiques et législatives américaines et européennes, ainsi que des personnes liées aux intérêts géopolitiques de Taïwan et de l’Ouïghour. Des entreprises de médias, des groupes de réflexion et des fournisseurs d’équipements et de services de télécommunications figuraient également parmi les cibles.

Depuis août 2021, Storm-0558 a mené des récoltes d’informations d’identification, des campagnes de phishing et des attaques par jeton OAuth sur des comptes Microsoft pour atteindre ses objectifs.

« Storm-0558 fait preuve d’un haut niveau d’expertise technique et opérationnelle », note Microsoft, qui décrit le groupe comme étant compétent sur le plan technologique, disposant de ressources suffisantes et possédant une compréhension approfondie des différentes méthodes et applications d’authentification. « Ils font preuve d’une compréhension approfondie de l’environnement de la cible, des politiques de journalisation et des exigences, politiques et procédures d’authentification.

Leur entrée initiale dans les réseaux cibles s’est faite par le biais de l’hameçonnage et de l’exploitation des vulnérabilités des applications publiques, suivie de l’installation du shell web China Chopper pour l’accès à la porte dérobée et d’un outil appelé Cigril pour le vol d’informations d’identification.

Storm-0558 a également utilisé des scripts PowerShell et Python pour extraire des données de courrier électronique, notamment des pièces jointes, des informations sur les dossiers et des conversations à l’aide d’appels à l’API Outlook Web Access (OWA).

Selon Microsoft, depuis la découverte de la campagne le 16 juin 2023, l’entreprise a « identifié la cause première, mis en place un suivi solide de la campagne, interrompu les activités malveillantes, fortifié l’environnement, informé tous les clients concernés et assuré la liaison avec plusieurs organismes gouvernementaux ».

L’ampleur de la violation est encore incertaine. Il s’agit néanmoins de l’exemple le plus récent d’un acteur chinois menant des cyberattaques pour obtenir des données sensibles et réussissant à mener une opération secrète de renseignement sans être détecté pendant au moins un mois avant d’être découvert en juin 2023.

Cette nouvelle intervient également alors que la commission parlementaire britannique sur le renseignement et la sécurité(ISC) a publié un rapport détaillé sur la Chine, soulignant sa « capacité d’espionnage numérique très efficace » et sa capacité à accéder à divers systèmes informatiques utilisés par d’autres gouvernements et par le secteur des entreprises.