Compromission d’une clé Microsoft : un impact plus important que prévu

 (wiz.io)
1 points par GN⁺ 2023-07-24 | 1 commentaires | Partager sur WhatsApp
  • Microsoft et la CISA ont révélé un incident de sécurité lié à Exchange Online et Outlook.com.
  • L’acteur malveillant Storm-0558 a obtenu une clé de chiffrement privée et l’a utilisée pour forger des jetons d’accès.
  • La clé compromise est plus puissante qu’on ne le pensait au départ et aurait pu affecter plusieurs applications Azure Active Directory.
  • L’absence de journaux peut compliquer la détection de l’utilisation de jetons falsifiés.
  • Les clés de fournisseur d’identité sont extrêmement puissantes et leur compromission peut avoir des conséquences majeures.
  • La clé compromise aurait pu permettre de forger des jetons pour l’authentification des comptes personnels, SharePoint, Teams, OneDrive, etc.
  • Cet incident souligne la nécessité de renforcer la sécurité et la transparence pour protéger les clés critiques.
  • Les applications Azure Active Directory reposant sur OpenID v2.0 de Microsoft ont été affectées.
  • Des recommandations sont fournies aux utilisateurs d’Azure pour détecter et atténuer les effets de la clé compromise.
  • Microsoft a identifié un acteur malveillant ciblant les comptes de messagerie de ses clients.
  • L’acteur malveillant pourrait avoir utilisé la clé compromise.
  • Des adresses IP associées à cet acteur malveillant ont été identifiées.
  • Les propriétaires d’applications doivent mettre à jour l’Azure SDK et le cache de leurs applications afin d’éviter cette vulnérabilité.
  • Cet incident a des implications plus larges sur la confiance accordée aux technologies cloud et à la couche d’identité.
  • L’ampleur exacte de l’incident reste inconnue, mais des millions d’applications pourraient être potentiellement vulnérables.
  • L’enquête est en cours et plusieurs questions sur l’attaque restent sans réponse.
  • Microsoft a travaillé en étroite collaboration avec l’équipe de TechCrunch pour garantir l’exactitude technique.
  • Des références et des ressources complémentaires sont fournies pour obtenir plus d’informations.

À lire aussi

1 commentaires

 
GN⁺ 2023-07-24
Commentaires Hacker News
  • La clé de signature du fournisseur d’identité est plus sensible qu’une clé TLS et équivalente à celle d’une autorité de certification.
  • Les organisations qui utilisent les services Microsoft et Azure devraient évaluer l’impact potentiel.
  • La clé MSA compromise a pu permettre à l’acteur de la menace de falsifier des jetons d’accès pour divers types d’applications Azure Active Directory.
  • Cette clé a expiré mais est toujours utilisée.
  • La légitimation des FAANGs à participer à des activités de cyberguerre/espionnage pourrait conduire à de meilleures pratiques de sécurité.
  • La nouvelle d’une clé volée qui aurait dû se trouver dans un HSM est stupéfiante.
  • La décision d’annoncer cette nouvelle un vendredi est discutable.
  • Le piratage peut avoir un impact majeur sur les principales applications métiers des entreprises.
  • Cet incident aura un effet durable sur la confiance envers le cloud et la couche d’identité.
  • Une économie capitaliste défaillante contribue à la concentration du pouvoir entre les mains de quelques grandes entreprises.
  • Les services fédérés sont la réponse pour survivre à long terme, et il faut accepter de sacrifier un peu de confort.
  • L’explication de ce domaine thématique complexe est à la fois effrayante et facile à comprendre.
  • Satya Nadella pourrait subir une pression pour se concentrer sur l’IA avant la prochaine publication des résultats.