![pageSearch](/themes/hestia/images/page-search.png)
Ram DDR4 et DDR5 : comparaison complète [2023]
Mar 15, 2024La taille du marché mondial des dispersants de charge thermoconducteurs devrait atteindre 0,4 milliard USD d’ici 2028, contre 0,3 milliard USD en 2023, avec un TCAC de 10,2 %.
Aug 15, 2023Quel est le battage médiatique à propos de LK
Aug 05, 2023Boost personnalisé pour les dissipateurs thermiques CMS en aluminium...
Jul 25, 2023Rough Crafts transforme une Harley 2020
Jun 24, 2023Microsoft propose plus d'informations sur la façon dont les pirates chinois ont accédé aux comptes de messagerie du gouvernement
![Jun 15, 2023](/themes/hestia/images/news-details-icon1.png)
John Callaham Neowin @JCalNEO · 17 juillet 2023 08h48 EDT avec 0 commentaires
La semaine dernière, Microsoft a signalé qu'un groupe de pirates informatiques chinois avait eu accès aux comptes de messagerie gouvernementaux aux États-Unis et en Europe. Plus précisément, le groupe de pirates a saisi des comptes de messagerie qui utilisaient Outlook Web Access de Microsoft dans Exchange Online ainsi que sur Outlook.com.
Dans un article de blog ultérieur, Microsoft a fourni plus de détails sur la manière dont ce groupe, connu sous le nom de Storm-0558, a réussi à accéder à ces comptes à l'aide du système en ligne de l'entreprise. Microsoft a déclaré :
Storm-0558 a acquis une clé de signature de consommateur MSA inactive et l'a utilisée pour forger des jetons d'authentification permettant à Azure AD Enterprise et au consommateur MSA d'accéder à OWA et Outlook.com. Toutes les clés MSA actives avant l’incident – y compris la clé de signature MSA acquise par l’acteur – ont été invalidées. Les clés Azure AD n’ont pas été affectées. La méthode par laquelle l'acteur a acquis la clé fait l'objet d'une enquête en cours. Bien que la clé soit destinée uniquement aux comptes MSA, un problème de validation a permis de faire confiance à cette clé pour la signature des jetons Azure AD. Ce problème a été corrigé.
Le blog explique également comment le groupe de hackers a utilisé cette clé de signature pour accéder à la version web d'Outlook :
Une fois authentifié via un flux client légitime exploitant le jeton falsifié, l'acteur malveillant a accédé à l'API OWA pour récupérer un jeton pour Exchange Online à partir de l'API GetAccessTokenForResource utilisée par OWA. L'acteur a pu obtenir de nouveaux jetons d'accès en présentant un précédemment émis par cette API en raison d'un défaut de conception. Cette faille dans GetAccessTokenForResourceAPI a depuis été corrigée pour accepter uniquement les jetons émis respectivement par Azure AD ou MSA. L'acteur a utilisé ces jetons pour récupérer les messages électroniques de l'API OWA.
Dans le cadre de ses efforts pour résoudre ce problème, Microsoft a apporté quelques modifications à ses procédures :
Cela inclut une isolation accrue des systèmes, une surveillance affinée de l'activité du système et le passage au magasin de clés renforcé utilisé pour nos systèmes d'entreprise. Nous avons révoqué toutes les clés précédemment actives et émis de nouvelles clés en utilisant ces systèmes mis à jour. Notre enquête active indique que ces améliorations en matière de renforcement et d’isolation perturbent les mécanismes que nous pensons que l’acteur aurait pu utiliser pour acquérir les clés de signature MSA.
Microsoft affirme qu'aucune action n'est nécessaire de la part de ses clients Web Outlook car il affirme que "toutes les activités des acteurs liées à cet incident ont été bloquées". Il a ajouté qu'il "continuera à surveiller l'activité de la tempête-0558 et à mettre en œuvre des protections pour nos clients".
John Callaham · 25 août 2023 avec 1 commentaire
John Callaham · 6 mars 2023 avec 18 commentaires
Rahul Naskar · 14 octobre 2022 avec 0 commentaire