Microsoft confirme avoir été piratée par le groupe Lapsus

23 mars 2022 cybersécurité
LAPSUS MICROSOFT

On apprenait hier que le groupe de pirates avait probablement réussi à obtenir des données confidentielles chez Microsoft, plus précisément du code source liés à des produits comme Bing et Cortana.

Selon Cyber Kendra, Lapsus a publié momentanément un fichier torrent contenant 37 Go d’informations liées à 258 projets, dont Bing et Bing Maps.

Dans une fiche technique publiée hier, Microsoft confirme le piratage : « Notre enquête a montré qu’un seul compte avait été compromis, n’offrant qu’un accès limité. Notre équipe […] a rapidement réparé le compte et prévenu toute activité ultérieure. Microsoft ne s’appuie pas sur le secret du code en tant que mesure de sécurité, voir le code source ne mène pas à une élévation des risques ».

L’éditeur assure qu’aucune information liée à des utilisateurs n’a été dérobée. L’article offre également un résumé intéressant sur les tactiques utilisées par Lapsus, que Microsoft nomme DEV-0537.

Le groupe utiliserait fréquemment l’ingénierie sociale, le SIM-swapping, l’extorsion d’identifiants, l’achat d’identifiants déjà volés sur des forums criminels, les menaces aux employés pour qu’ils servent de maillon dans l’authentification à facteurs multiples, l’installation de programmes dérobant les mots de passe.

Une fois qu’un accès a été obtenu, Lapsus se sert d’AD Explorer pour créer une liste des utilisateurs dans l’organisation ciblée. Le groupe navigue alors dans les plateformes de collaboration comme Slack, SharePoint, Teams, GitLab, Jira, et Confluence pour y récolter un maximum d’informations, idéalement sensibles.

Lapsus se sert également de vulnérabilités dans la plateforme visée pour obtenir une escalade des privilèges. Il lui arrive même d’appeler le service client de l’entreprise visée pour… demander une réinitialisation du mot de passe, en se faisant passer pour un compte spécifique qui l’intéresse car disposant des privilèges recherchés.

Sur ce point, Microsoft indique que la personne au téléphone parlait un anglais impeccable et était capable de répondre aux questions visant à prouver son identité, signe d’une grande préparation.

L’éditeur n’indique pas cependant quelles techniques ont été utilisées dans l’attaque contre ses propres infrastructures. Elle ne confirme pas non plus les chiffres avancés par Cyber Kendra ni ne donne de détails sur les données dérobées.

Microsoft indique que ce type d’opération ne peut être contrecarré qu’avec des mécanismes MFA plus forts, des terminaux de confiance, une sensibilisation des employés à l’ingénierie sociale, une surveillance des moyens de cybersécurité mis en oeuvre et l’utilisation d’options d’authentification modernes pour les VPN.

Bien entendu, il devient un peu plus compliqué de donner une leçon de sécurité quand on vient soi-même d’être attaqué, avec dégâts confirmés. Mais comme la campagne actuelle de Lapsus a le mérite de le prouver, aucune société ne peut se prévaloir d’une sécurité à toute épreuve, même les plus importantes.