La CISA publie des directives urgentes sur les attaques des comptes Microsoft et Sisense

L’Agence américaine de cybersécurité et d’infrastructure a publié aujourd’hui une directive d’urgence exigeant que toutes les agences fédérales prennent des mesures pour se prémunir contre les attaques d’un groupe de piratage russe utilisant des comptes Microsoft Corp. compromis.

La directive d’urgence est intervenue après que CISA a révélé plus tôt dans la journée qu’elle enquêtait sur une violation de données au sein de la société de renseignement économique Sisence Ltd. CISA a fourni de nombreux détails sur le piratage, affirmant qu’elle en avait pris connaissance par l’intermédiaire d’un chercheur en sécurité indépendant et que les clients de Sisense devraient réinitialiser leurs informations d’identification.

Le décret lié à Microsoft concerne une campagne menée par le groupe de piratage présumé Midnight Blizzard, parrainé par l’État russe, visant à exfiltrer la correspondance électronique du pouvoir exécutif civil fédéral, la partie du gouvernement américain composée d’employés civils travaillant dans des départements et agences exécutifs, en utilisant comptes Microsoft compromis. La directive exige que toutes les agences analysent le contenu des e-mails exfiltrés, réinitialisent les informations d’identification compromises et prennent des mesures supplémentaires pour sécuriser les comptes Microsoft Azure privilégiés.

Bien que les exigences de la directive d’urgence ED 24-02 ne s’appliquent qu’aux agences FCEB, la CISA prévient que d’autres organisations pourraient également avoir été affectées par l’exfiltration des comptes de messagerie Microsoft et encourage les utilisateurs de Microsoft à contacter leur équipe de compte respective pour toute question. questions supplémentaires ou suivi.

Dans la directive complète, CISA détaille comment Midnight Blizzard utilise les informations initialement exfiltrées des systèmes de messagerie de l’entreprise, y compris les détails d’authentification partagés entre les clients Microsoft et Microsoft par courrier électronique, pour obtenir ou tenter d’obtenir un accès supplémentaire aux systèmes des clients Microsoft. Citant Microsoft, la CISA note que Midnight Blizzard a multiplié par 10 certains aspects de son fonctionnement en février par rapport à janvier, qui avait déjà connu un volume important d’attaques.

L’une des attaques assez réussies de Midnight Blizzard a impliqué Microsoft en janvier, lorsqu’un petit nombre de comptes de messagerie, y compris ceux appartenant à des cadres supérieurs, ont été compromis. Le nom du groupe, Midnight Blizzard, vient de Microsoft, mais le groupe est plus communément connu sous le nom de Nobelium.

Il s’agit du même groupe à l’origine des attaques contre SolarWinds WorldWide LLC, qui ont débuté en 2019 mais ont été détectées pour la première fois en décembre 2020. Et la société qui a retracé Nobelium jusqu’à SolarWinds et émis des avertissements concernant le groupe était Microsoft.

La compromission des comptes de messagerie d’entreprise Microsoft est à l’origine de l’avertissement CISA d’aujourd’hui. L’exfiltration des correspondances entre les agences et Microsoft a donné à Midnight Blizzard un moyen d’infiltrer et de compromettre les comptes des agences FCEB.

Le décret d’urgence exige que les agences prennent des mesures correctives immédiates si les jetons, mots de passe, clés d’interface de programmation d’applications ou autres informations d’authentification sont connus ou suspectés d’être compromis. D’ici le 30 avril, les agences doivent réinitialiser les informations d’identification des applications associées, désactiver toutes les applications qui ne sont plus utilisées et examiner la connexion, l’émission de jetons et les autres journaux d’activité des comptes à la recherche de signes d’activité malveillante potentielle.

En outre, les agences sont tenues d’identifier tout le contenu de la correspondance avec des comptes Microsoft compromis et de mener une analyse d’impact sur la cybersécurité. En cas de compromission d’authentification découverte grâce à l’analyse des agences, celles-ci doivent en informer la CISA et respecter les étapes initiales décrites, la CISA fournissant une assistance et un calendrier mis à jour pour ces actions.

Image : CISA