Un botnet cible les comptes Microsoft avec une attaque par pulvérisation de mots de passe
Table of Contents
Un énorme botnet (réseau d’ordinateurs privés infectés par des logiciels malveillants) de 130 000 appareils a ciblé les comptes de service Microsoft 365 dans le monde entier. Découvert pour la première fois par SecurityScorecard le 24 février, le botnet semble être engagé dans une attaque massive de pulvérisation de mots de passe. Notamment, les attaquants ont pu contourner l’authentification multifacteur en exploitant l’authentification de base (Basic Auth) – une méthode d’authentification obsolète. Cela signifie que les alertes de sécurité ne sont pas déclenchées et que les organisations peuvent ne pas être conscientes qu’elles sont sous attaque.
Résumé de l’attaque
- Qui a été ciblé : Comptes de service Microsoft 365 dans le monde entier
- Type d’attaque : Pulvérisation de mots de passe via un botnet massif
- Impact : Potentiel de prise de contrôle de comptes, perturbation des opérations par des verrouillages, et mouvement latéral lors d’accès non autorisé
- Qui était responsable : Officiellement non attribué. SecurityScorecard croit qu’un groupe affilié à la Chine est derrière l’attaque, citant des preuves d’infrastructure liée à CDS Global Cloud et UCLOUD HK, qui ont des liens opérationnels avec la Chine. L’attaque utilise des serveurs de commande et contrôle (C2) hébergés par SharkTech, un fournisseur basé aux États-Unis précédemment identifié pour héberger des activités malveillantes.
Comment l’attaque s’est-elle produite ?
Selon SecurityScorecard, les attaquants ont utilisé des voleurs d’informations pour rassembler une base de données d’identifiants volés. À partir de là, ils ciblent systématiquement les comptes avec des mots de passe courants/compromis à grande échelle dans le monde entier. L’utilisation d’un botnet de plus de 130 000 appareils compromis signifie que les tentatives de connexion ont été réparties sur de nombreuses adresses IP différentes.
Les attaques sont enregistrées comme des journaux de « connexion non interactive », ce qui aide à empêcher que les tentatives de connexion soient signalées comme suspectes. Du point de vue d’un pirate informatique, cela maximisera les chances de compromission tout en gardant le nombre de verrouillages de comptes au minimum. Une fois qu’ils obtiennent une correspondance avec des identifiants vérifiés, ils obtiennent un accès complet au compte et peuvent lancer d’autres attaques.
Le problème clé ici est que Basic Auth est une méthode d’authentification obsolète qui ne peut pas être utilisée en conjonction avec MFA. Au lieu de cela, les identifiants sont envoyés sous forme de texte brut ou codés en base64 avec chaque requête vers un serveur. Microsoft prévoit de l’abandonner en faveur d’OAuth 2.0 en septembre 2025, l’ayant déjà désactivé pour la plupart des services Microsoft 365.
Que faire si vous pensez avoir été ciblé par l’attaque de botnet
L’avertissement suivant a été donné par SecurityScorecard : « Les organisations qui s’appuient uniquement sur la surveillance des connexions interactives sont aveugles à ces attaques. Les connexions non interactives, couramment utilisées pour l’authentification service-à-service, les protocoles hérités (par exemple, POP, IMAP, SMTP), et les processus automatisés, ne déclenchent pas MFA dans de nombreuses configurations. » Ils offrent les conseils suivants à toute organisation qui croit avoir été impactée : Les organisations devraient désactiver Basic Auth dans Microsoft 365, bloquer les adresses IP listées dans le rapport, activer les CAP pour restreindre les tentatives de connexion et utiliser MFA sur tous les comptes.
Analyse Specops : se défendre contre les attaques par pulvérisation de mots de passe
Darren James, Senior Product Manager chez Specops, a déclaré ceci à propos de l’attaque : « La pulvérisation de mots de passe des comptes de service plutôt que des utilisateurs est certainement un vecteur d’attaque intéressant et souvent négligé. Les comptes de service sont régulièrement utilisés pour faire fonctionner des systèmes critiques pour l’entreprise et leurs mots de passe sont rarement changés. Ils n’ont aucun type de 2FA appliqué et ils ont généralement quelques privilèges élevés selon leur fonction. Cela signifie qu’ils sont une bonne cible d’attaque.
« Nous voyons souvent des comptes de service sur nos rapports de mots de passe compromis et de mots de passe en double lorsque les clients exécutent notre outil d’audit Active Directory gratuit Specops Password Auditor. Ces mots de passe sont généralement définis par l’administrateur informatique qui installe le service, puis ne sont plus jamais changés, et il est assez courant que les mots de passe définis sur ces comptes ne soient pas forts ou aient pu être utilisés sur d’autres comptes dans le passé.
« Lorsque nous discutons des résultats du rapport, les administrateurs sont toujours inquiets de faire des changements aux comptes de service car cela pourrait causer une perturbation à une solution critique pour l’entreprise, mais comme cette dernière attaque le souligne, cette approche laisse les entreprises à risque. Les attaques par pulvérisation de mots de passe ont été conçues pour surmonter les inconvénients associés aux attaques par force brute. Ces attaques tentent de se connecter à tous les comptes de l’organisation en utilisant quelques mots de passe qui sont connus pour être particulièrement courants. Dans une grande organisation, il y a de bonnes chances qu’au moins un compte ait l’un de ces mots de passe faibles.
« Les entreprises devraient chercher à faire respecter des mots de passe très forts et longs sur les comptes de service dans la mesure du possible, scanner ces comptes en continu pour les mots de passe compromis, faire respecter l’utilisation de coffres-forts de mots de passe, et des mots de passe générés aléatoirement pour ces types de comptes. Si possible, ils devraient passer à l’utilisation d’un compte de service géré qui permet au système de définir et de changer régulièrement les mots de passe des comptes de service sans intervention humaine. »
Bloquez les mots de passe faibles et détectez les identifiants compromis
MFA serait souvent la défense clé contre les attaques par pulvérisation de mots de passe, bien que dans ce cas, les attaquants aient pu l’éviter en exploitant l’authentification de base sur des comptes qui ne peuvent pas utiliser MFA. Il y a deux autres défenses clés que les organisations devraient avoir en place pour combattre les attaques par pulvérisation de mots de passe contre les utilisateurs finaux et les comptes de service :
- Empêchez les utilisateurs de choisir des mots de passe faibles : Les attaquants s’appuient sur des bases de données de mots de passe faibles et compromis connus, qui sont couramment volés par des logiciels malveillants. Nous avons récemment analysé plus d’1 milliard de mots de passe volés par des logiciels malveillants et les plus courants étaient des termes de base ou des parcours de clavier tels que « qwerty » ou « 123456. » Votre politique de mots de passe devrait empêcher les utilisateurs finaux de créer des mots de passe faibles et à la place faire respecter des phrases de passe longues et uniques.
- Scannez votre Active Directory pour les mots de passe compromis : Même les mots de passe forts peuvent être compromis par la réutilisation par les utilisateurs finaux de mots de passe de travail sur des appareils personnels, des sites et des applications avec une sécurité faible. Vous devriez envisager d’ajouter des outils pour scanner votre Active Directory pour les mots de passe connus pour être impliqués dans des violations. Gardez à l’esprit que certaines solutions ne scannent qu’aux événements de réinitialisation, alors que les solutions comme Specops Password Policy with Breached Password Protection peuvent continuellement scanner pour les mots de passe compromis dans votre environnement.
Intéressé à débarrasser votre Active Directory des mots de passe faibles et compromis ? Contactez-nous pour un essai gratuit de Specops Password Policy dès aujourd’hui.
(Dernière mise à jour le 20/07/2025)