L’Agence américaine pour la cybersécurité et la sécurité de l’infrastructure (CISA) a déclaré aujourd’hui que les acteurs menaçants contournaient les protocoles d’authentification multi-facteurs (MFA) pour compromettre les comptes de service cloud.

« CISA est au courant de plusieurs cyberattaques réussies récentes contre les services cloud de diverses organisations », a déclaré mercredi l’agence de cybersécurité.

«Les cyber-acteurs impliqués dans ces attaques ont utilisé une variété de tactiques et de techniques – y compris le phishing, les tentatives de connexion par force brute et éventuellement une attaque« pass-the-cookie »- pour tenter d’exploiter les faiblesses des pratiques de sécurité cloud des organisations victimes. . « 

L’activation de l’authentification multifacteur ne suffit pas toujours

Alors que les acteurs de la menace ont essayé d’accéder à certains des actifs cloud de leurs cibles via des attaques par force brute, ils ont échoué en raison de leur incapacité à deviner les informations d’identification correctes ou parce que l’organisation attaquée avait activé l’authentification MFA.

Cependant, dans au moins un incident, les attaquants ont réussi à se connecter au compte d’un utilisateur même si la cible avait une authentification multifacteur (MFA) activée.

CISA estime que le les acteurs de la menace ont pu contourner les protocoles d’authentification MFA dans le cadre d’une attaque «pass-the-cookie» dans laquelle des attaquants détournent une session déjà authentifiée à l’aide de cookies de session volés pour se connecter à des services en ligne ou à des applications Web.

L’agence a également observé des attaquants utilisant l’accès initial obtenu après le hameçonnage des informations d’identification des employés pour hameçonner d’autres comptes d’utilisateurs au sein de la même organisation en abusant de ce qui ressemblait au service d’hébergement de fichiers de l’organisation pour héberger leurs pièces jointes malveillantes.

Dans d’autres cas, les acteurs de la menace ont été vus en train de modifier ou de configurer des règles de transfert d’e-mails et des règles de recherche pour collecter automatiquement des informations sensibles et financières à partir de comptes de messagerie compromis.

«En plus de modifier les règles de messagerie des utilisateurs existantes, les acteurs de la menace ont créé de nouvelles règles de boîte aux lettres qui …

Voir la source de cette publication