L'objectif principal de **Storm-2949** est de voler autant de données sensibles que possible à partir des actifs de grande valeur des organisations ciblées au sein des environnements **Microsoft 365** et **Azure**. Les attaques impliquent un processus en plusieurs étapes, commençant par l'ingénierie sociale et culminant avec l'exfiltration de données à partir de divers services cloud. ### Accès initial via le vol d'identifiants La chaîne d'attaque commence par des tactiques d'ingénierie sociale ciblant les utilisateurs ayant des rôles privilégiés, tels que le personnel informatique ou la direction. **Storm-2949** vise à obtenir leurs identifiants **Microsoft Entra ID**, leur accordant ainsi l'accès aux données au sein des applications **Microsoft 365**. L'attaquant a abusé du flux de réinitialisation de mot de passe en libre-service (SSPR), initiant des réinitialisations de mot de passe pour les comptes ciblés et trompant les victimes pour qu'elles approuvent les invites d'authentification multifacteur (MFA). Pour renforcer la tromperie, les attaquants usurpent l'identité du personnel de support informatique, créant un sentiment d'urgence et de légitimité. Ils réinitialisent ensuite le mot de passe, suppriment les contrôles MFA existants et enregistrent **Microsoft Authenticator** sur leur propre appareil. ### Exploitation des applications Microsoft 365 Avec les comptes compromis, **Storm-2949** utilise l'**API Microsoft Graph** et des scripts Python personnalisés pour énumérer les utilisateurs, les rôles, les applications et les principaux de service. Cette phase de reconnaissance les aide à identifier les opportunités de persistance à long terme. Ils accèdent ensuite à **OneDrive** et **SharePoint** au sein de **Microsoft 365**, recherchant des configurations VPN, des fichiers opérationnels IT et des détails d'accès à distance pour le mouvement latéral. Selon **Microsoft**, les attaquants ont utilisé l'interface web **OneDrive** pour télécharger des milliers de fichiers en une seule action. Ce schéma de vol de données a été répété sur les comptes d'utilisateurs compromis pour maximiser la portée des informations volées. ### Pivot vers l'infrastructure Azure **Storm-2949** étend sa portée à l'infrastructure **Azure** de la victime, ciblant les machines virtuelles, les comptes de stockage, les coffres-forts de clés, les services d'applications et les bases de données SQL. Les attaquants ont compromis plusieurs identités avec des rôles personnalisés privilégiés de contrôle d'accès basé sur les rôles **Azure** (RBAC) sur plusieurs abonnements **Azure**. Cet accès leur a permis d'extraire des actifs sensibles des abonnements **Azure** basés sur la production. En exploitant les permissions privilégiées **Azure RBAC** de l'utilisateur compromis, **Storm-2949** a obtenu des identifiants pour déployer FTP, Web Deploy et la console Kudu pour la gestion des **Services d'applications Azure**. Cet accès leur a permis de parcourir le système de fichiers, de vérifier les variables d'environnement et d'exécuter des commandes à distance dans le contexte de l'application. Les attaquants ont ensuite ciblé les **coffres-forts Azure Key Vaults**, modifiant les paramètres d'accès et volant de nombreux secrets, y compris des identifiants de base de données et des chaînes de connexion. Ils ont également ciblé les serveurs **Azure SQL** et les comptes de stockage en modifiant les règles de pare-feu et d'accès réseau, en récupérant des clés de stockage et des jetons SAS, et en exfiltrant des données à l'aide de scripts Python personnalisés. Les fonctionnalités de gestion des **VM Azure** telles que **VMAccess** et **Run Command** ont été abusées pour créer des comptes d'administrateur non autorisés, exécuter des scripts à distance et voler des identifiants. Dans les étapes ultérieures, **Storm-2949** a déployé l'outil d'accès à distance **ScreenConnect** sur les systèmes compromis, a tenté de désactiver les protections **Microsoft Defender** et a effacé les preuves médico-légales. .jpg) *Source : Microsoft* ### Stratégies d'atténuation **Microsoft** recommande le renforcement de la sécurité et les meilleures pratiques pour se défendre contre les attaques **Storm-2949**, notamment : * Adopter le principe du moindre privilège. * Activer les politiques d'accès conditionnel. * Ajouter une protection MFA pour tous les utilisateurs. * Assurer une MFA résistante au phishing pour les utilisateurs ayant des rôles privilégiés. Pour protéger les ressources cloud, **Microsoft** conseille : * Limiter les permissions **Azure RBAC**. * Conserver les journaux **Azure Key Vault** jusqu'à un an. * Réduire l'accès à **Key Vault**. * Restreindre l'accès public aux **Key Vaults**. * Utiliser les options de protection des données dans **Azure Storage**. * Surveiller les opérations de gestion **Azure** à haut risque. Le rapport de Microsoft fournit des indicateurs de compromission pour les attaques observées, ainsi que des conseils complets d'atténuation et de protection. ## [Le fossé de la validation : les tests d'intrusion automatisés répondent à une question. Vous en avez besoin de six.](https://hubs.li/Q048zztN0) Les outils de tests d'intrusion automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)