Microsoft confirme qu’il a été piraté par LAPSUS $

MISE À JOUR 3/23 : Suite au dumping de fichiers par le groupe de piratage LAPSUS $ qu’il aurait recueilli en piratant Microsoft, Microsoft a maintenant confirmé qu’il avait été compromis via un seul compte.

Dans le cadre d’un article de blog sur la sécurité publié tard hier, Microsoft a inclus une section intitulée “Actions des acteurs ciblant Microsoft” qui explique ce qui s’est passé :

“Cette semaine, l’acteur a déclaré publiquement qu’il avait eu accès à Microsoft et exfiltré des portions de code source. Aucun code ou donnée client n’était impliqué dans les activités observées. Notre enquête a révélé qu’un seul compte avait été compromis, accordant un accès limité. Nos équipes d’intervention en matière de cybersécurité se sont rapidement mobilisées pour remédier au compte compromis et empêcher toute activité ultérieure.

Microsoft ne s’appuie pas sur le secret du code comme mesure de sécurité et l’affichage du code source n’entraîne pas d’augmentation des risques. Les tactiques utilisées par DEV-0537 dans cette intrusion reflètent les tactiques et techniques discutées dans ce blog. Notre équipe enquêtait déjà sur le compte compromis sur la base de renseignements sur les menaces lorsque l’acteur a révélé publiquement son intrusion. Cette divulgation publique a intensifié notre action permettant à notre équipe d’intervenir et d’interrompre l’acteur en cours d’opération, limitant ainsi un impact plus large. »

Bien que tout piratage réussi soit une mauvaise nouvelle pour une organisation, dans ce cas, il semble très limité et n’a aucun impact sur les clients de Microsoft.

Les recommandations de Microsoft pour aider à prévenir les piratages LAPSUS $ similaires incluent l’utilisation d’une authentification multifacteur pour tous les utilisateurs à tous les endroits, l’encouragement de mots de passe forts, l’utilisation d’une authentification sans mot de passe si disponible et l’ajout d’un VPN comme couche d’authentification supplémentaire.


Histoire originale 3/22 :
Le groupe cybercriminel qui prétend avoir violé Microsoft a commencé à vider des fichiers prétendument tirés du piratage.

Lundi, le gang LAPSUS $ a commencé à faire circuler une archive compressée de 10 Go censée contenir des données internes sur le moteur de recherche Bing de Microsoft et Bing Maps, ainsi que le code source du logiciel d’assistant vocal Cortana de la société.

“Bing Map est un vidage complet à 90 %. Bing et Cortana environ 45% », a déclaré LAPSUS $ dans un message sur le chat public du groupe.

Selon BleepingComputer, l’archive s’étend à 37 Go une fois décompressée et contient le code source de plus de 250 projets qui semblent appartenir à Microsoft. S’il est réel, le vidage de fichier risque d’exposer des informations sensibles sur l’entreprise, y compris des données sur les employés et les certificats logiciels, que les cybercriminels pourraient exploiter davantage.

Microsoft n’a pas immédiatement répondu à une demande de commentaire. Jusqu’à présent, la société a seulement déclaré qu’elle enquêtait sur le piratage présumé. Cependant, le gang LAPSUS $ affirme que le groupe a déjà perdu l’accès aux systèmes de Microsoft.

“L’accès est mort pendant que je dormais”, a écrit l’un des membres dans le chat public du groupe. « Ça aurait été un dépotoir complet. Mais nous étions tous fatigués. »

Recommandé par nos rédacteurs

Le vidage de fichier se produit également car LAPSUS $ peut avoir révélé comment il a piraté Microsoft. Lundi, le groupe a affirmé avoir violé Okta, une société qui gère les systèmes d’authentification de 15 000 marques.

« Des milliers d’entreprises utilisent Okta pour sécuriser et gérer leurs identités », a déclaré la société de sécurité informatique Checkpoint. «Grâce aux clés privées récupérées dans Okta, le cybergang peut avoir accès aux réseaux et applications de l’entreprise. Par conséquent, une brèche chez Okta pourrait avoir des conséquences potentiellement désastreuses. »

Dans son chat public, LAPSUS $ a déclaré qu’il n’avait volé aucune base de données à Okta, mais qu’il ciblait les entreprises clientes de l’entreprise. Jusqu’à présent, Okta a seulement déclaré avoir détecté “une tentative de compromission du compte d’un ingénieur de support client tiers” travaillant dans un “sous-traitant” de l’entreprise il y a deux mois. Mais l’incident a été contenu par la suite.

“Sur la base de notre enquête à ce jour, il n’y a aucune preuve d’activité malveillante en cours au-delà de l’activité détectée en janvier”, a déclaré le responsable de la sécurité d’Okta.

Vous aimez ce que vous lisez ?

Inscrivez vous pour Veille de sécurité newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.

Cette newsletter peut contenir des publicités, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.

Leave a Comment