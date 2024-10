Microsoft pousse des millions d’utilisateurs vers Edge. NurPhoto via Getty Images

Microsoft vient de lancer un nouvel avertissement à l’intention des millions d’utilisateurs de Windows, les « acteurs menaçants utilisant de plus en plus [new] tactiques visant à contourner les mécanismes de défense. Ces attaques se sont intensifiées au cours des six derniers mois et la société a désormais publié un ensemble de recommandations détaillées.

Les attentats, qui «abuser des services d’hébergement de fichiers légitimes, recourir de plus en plus à des tactiques d’évasion de la défense impliquant des fichiers avec un accès restreint et des restrictions de visualisation seule.» En fin de compte, cependant, on continue de s’appuyer sur un site Web frauduleux pour récupérer les informations d’identification des utilisateurs : c’est le point faible de la chaîne d’attaque et la meilleure opportunité pour les utilisateurs et leurs entreprises de stopper les attaques dans leur élan.

Ce qui conduit à la recommandation de Microsoft de « tirer parti de Microsoft Edge pour identifier et bloquer automatiquement les sites Web malveillants, y compris ceux utilisés dans cette campagne de phishing ». Cela utilise le lien entre Edge et Microsoft Defender SmartScreen pour « fournir un système d’alerte précoce contre les sites Web susceptibles de se lancer dans des attaques de phishing ou de tenter de distribuer des logiciels malveillants via une attaque ciblée ».

Le mois dernier, j’ai fait un rapport sur Microsoft émettre ce même commutateur vers l’avertissement Edge aux utilisateurs de Chrome, à cette occasion à la suite d’une vulnérabilité zero-day identifiée par ses chasseurs de menaces et qui avait incité le gouvernement américain à obliger tous les employés fédéraux à mettre à jour Chrome ou à cesser complètement d’utiliser le navigateur.

L’avis de Microsoft avertit les entreprises d’encourager l’utilisation de « Microsoft Edge et d’autres navigateurs Web prenant en charge Microsoft Defender SmartScreen, qui identifie et bloque les sites Web malveillants, notamment les sites de phishing, les sites frauduleux et les sites hébergeant des logiciels malveillants ». En termes plus simples, pas Google Chrome.

Comme je l’ai dit à l’époque, « même s’il existe des arguments en faveur Avantage sur Chrome en ce qui concerne la protection contre les logiciels malveillants, il semble quelque peu bizarre qu’un produit Microsoft concurrent de Chrome soit recommandé dans un avis de sécurité pour un CVE divulgué par Microsoft, surfant désormais sur une vague de publicité générée par Chrome.

Il n’y a pas cet angle spécifique cette fois-ci, mais Microsoft prône une approche d’entreprise commune pour se défendre contre de tels compromis commerciaux. La société a pour mission de faire basculer les utilisateurs de Chrome vers Edge et a été interpellée dans le passé pour les avertissements de sécurité envoyés aux utilisateurs lorsqu’ils installent Chrome à partir d’un PC Windows. Et donc, dans ce contexte, cela semble faire partie d’une campagne plus large.

Chaîne d’attaque illustrative Microsoft

L’utilisation de plates-formes de partage de fichiers fiables, en particulier Dropbox, Sharepoint et OneDrive, est conçue pour inciter les employés à ouvrir des fichiers qui semblent être livrés avec le système de sécurité de leur organisation. « L’utilisation généralisée de ces services en fait également des cibles attrayantes pour les acteurs malveillants, qui exploitent la confiance et la familiarité associées à ces services pour diffuser des fichiers et des liens malveillants, évitant souvent d’être détectés par les mesures de sécurité traditionnelles. »

De telles attaques ne sont pas nouvelles, mais la tendance récente identifiée par Microsoft est l’utilisation de fichiers dont l’accès est restreint au destinataire ou de fichiers avec des paramètres d’affichage uniquement, tous deux destinés à inciter les systèmes de sécurité de l’entreprise à laisser passer les liens et à tromper les utilisateurs. en faisant confiance à une charge utile malveillante.

« Souvent », explique Microsoft, « des utilisateurs de fournisseurs de confiance sont ajoutés aux listes d’autorisation via des politiques définies par l’organisation sur les produits Exchange Online, permettant ainsi la transmission réussie des e-mails de phishing. » Les attaques elles-mêmes ont des objectifs typiques : le vol des informations d’identification de l’organisation, l’accès aux systèmes d’entreprise et le gain financier.

Étant donné que la chaîne commence par une compromission permettant à l’attaque de provenir d’un environnement fiable, les acteurs malveillants peuvent également ajuster les noms de fichiers pour qu’ils semblent pertinents pour les engagements en cours : « des sujets familiers basés sur des conversations existantes… par exemple, si les deux organisations ont déjà eu des interactions liées à un audit, les fichiers partagés pourraient être nommés ‘Rapport d’audit 2024‘. » Microsoft a également vu ces noms de fichiers et ces actions de sensibilisation utiliser des titres urgents pour inciter à une action immédiate.

Une fois que l’utilisateur a utilisé MFA pour accéder à sa plate-forme de partage de fichiers légitime et que « l’utilisateur est autorisé avec succès et peut visualiser un document », l’étape suivante consiste à créer un fichier « se faisant souvent passer pour un aperçu, avec un lien malveillant, ce qui est un autre leurre pour inciter l’utilisateur ciblé à cliquer sur le lien d’accès « Afficher mon message ».

Ce lien dirige l’utilisateur vers le site Web frauduleux, conçu pour la campagne, « où l’utilisateur est invité à fournir le mot de passe et à effectuer une authentification multifacteur (MFA). Le jeton compromis peut ensuite être exploité par l’acteur malveillant pour effectuer la deuxième étape de l’attaque et poursuivre la campagne.

C’est là qu’intervient l’utilisation recommandée d’Edge en entreprise, mais Microsoft recommande également l’utilisation de politiques d’accès conditionnel, qui peuvent restreindre l’accès en fonction de l’analyse de divers signaux et de l’utilisateur plus large de Microsoft Defender.

« En comprenant ces menaces en constante évolution et en mettant en œuvre les mesures d’atténuation recommandées », déclare Microsoft, « les organisations peuvent mieux se protéger contre ces campagnes sophistiquées et protéger leurs actifs numériques ».

Ce n’est pas la seule pression actuelle pour que les utilisateurs de Windows passent à Edge, et nous venons de constater des améliorations de performances mises en avant dans le cadre de la campagne. Mais comme je l’ai déjà dit, le recours à cette approche d’entreprise commune pour se défendre contre les menaces commerciales est intelligent. Faire d’Edge une recommandation du RSSI plutôt qu’un choix d’utilisateur verrait plus d’utilisateurs, et si le navigateur fonctionne, peut-être qu’Edge finira par ronger la domination stupéfiante de Chrome sur le marché des navigateurs de bureau.