taraskuzio.com

Proofpoint révèle une nouvelle technique d’usurpation d’identifiants OAuth permettant de contourner les défenses cloud | UnderNews

Les chercheurs de Proofpoint dévoilent aujourd’hui une nouvelle étude mettant en lumière une technique d’attaque cloud émergente permettant aux attaquants d’identifier discrètement des comptes Microsoft Entra ID tout en échappant à de nombreuses méthodes de détection classiques.

Plutôt que d’exploiter une vulnérabilité, les attaquants usurpent des identifiants clients OAuth afin de valider des noms d’utilisateur, déduire la validité de mots de passe et identifier des cibles potentielles, sans utiliser d’application OAuth enregistrée ni générer les événements de connexion que les équipes de sécurité surveillent habituellement. Les chercheurs de Proofpoint ont observé plusieurs campagnes d’envergure adopter indépendamment cette technique, ce qui suggère qu’elle est en train de devenir une pratique bien établie.

Voici les principaux enseignements de l’étude : 

  • Une nouvelle méthode d’attaque cloud émerge avec des attaquants qui exploitent des identifiants clients OAuth usurpés pour identifier des comptes Microsoft Entra tout en contournant les mécanismes de détection traditionnels basés sur les applications

  • Des campagnes observées à grande échelle avec plusieurs opérations ciblant des millions de comptes utilisateurs à travers des milliers de tenants Microsoft Entra

  • Une zone d’ombre pour la détection avec des identifiants clients usurpés qui laissent les champs applicatifs vides dans les journaux de connexion Entra, rendant les activités malveillantes beaucoup plus difficiles à corréler

  • Des recommandations concrètes avec des pistes permettant aux équipes de sécurité d’identifier cette activité en surveillant les événements de connexion Entra sans nom d’application

Cette recherche offre l’un des premiers éclairages détaillés sur la manière dont les acteurs malveillants industrialisent l’usurpation d’identifiants clients OAuth à grande échelle, ainsi que sur les raisons pour lesquelles les stratégies de détection dans le cloud doivent évoluer en conséquence.

Les chercheurs de Proofpoint ont déclaré :

« L’émergence de multiples campagnes reposant sur des outils et des infrastructures distincts suggère que cette technique est en train de s’imposer parmi les acteurs malveillants ciblant les environnements cloud ».

Vous trouverez plus de détails sur l’étude complète en consultant

cette page.