Security

Attaque d’usurpation Teams cross-tenant : guide

3 min de lecture

Résumé

Microsoft a détaillé une chaîne d’intrusion opérée par des humains dans laquelle des attaquants utilisent des conversations Microsoft Teams cross-tenant pour usurper l’identité du support informatique et inciter les utilisateurs à accorder un accès à distance via des outils comme Quick Assist. Cette campagne est importante, car elle combine des outils légitimes de collaboration, d’assistance à distance et d’administration pour permettre le mouvement latéral, la persistance et l’exfiltration de données tout en ressemblant à une activité IT normale.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft a publié de nouvelles recherches sur les menaces décrivant comment des attaquants abusent des conversations externes Microsoft Teams pour usurper l’identité du service IT ou du support informatique. Pour les équipes IT et de sécurité, il s’agit d’un rappel important : le phishing moderne et l’ingénierie sociale ne commencent plus seulement par l’e-mail — ils peuvent débuter dans des outils de collaboration de confiance et évoluer rapidement vers une compromission à l’échelle de l’entreprise.

Nouveautés

Le rapport de Microsoft présente un playbook d’intrusion opéré par des humains complet qui commence par des messages Teams cross-tenant et se termine par une exfiltration de données.

Chaîne d’attaque mise en avant par Microsoft

  • Contact initial via Teams : les attaquants se font passer pour du personnel de support en utilisant la communication externe Teams.
  • Point d’appui via l’assistance à distance : les victimes sont convaincues de lancer Quick Assist ou des outils similaires de support à distance et d’approuver l’accès.
  • Reconnaissance et validation : les attaquants vérifient rapidement les privilèges de l’utilisateur, les détails du système et le niveau d’accès.
  • Abus d’applications de confiance : des applications signées par des éditeurs sont lancées avec des modules fournis par les attaquants pour exécuter du code malveillant.
  • Command and control : les attaquants établissent un accès persistant tout en se fondant dans l’activité administrative normale.
  • Mouvement latéral : des outils natifs comme WinRM sont utilisés pour progresser vers des actifs à forte valeur, y compris les contrôleurs de domaine.
  • Outils déployés ensuite : des logiciels commerciaux de gestion à distance comme Level RMM peuvent être déployés.
  • Exfiltration de données : des utilitaires comme Rclone sont utilisés pour préparer et transférer des données sensibles vers un stockage cloud externe.

Pourquoi cela compte pour les administrateurs

Cette campagne est notable, car elle repose largement sur des outils légitimes de Microsoft et de fournisseurs tiers plutôt que sur des malwares évidents. Cela complique la détection et augmente la probabilité que l’activité ressemble à un support IT de routine, à de l’administration à distance ou à des actions approuvées par l’utilisateur.

Le plus grand risque n’est pas seulement la messagerie externe Teams elle-même, mais surtout le moment où un utilisateur approuve le contrôle à distance. Une fois cela fait, les attaquants peuvent agir rapidement — souvent en quelques minutes — pour établir un accès plus large, déployer des outils et cibler l’infrastructure d’identité ou de domaine.

Actions recommandées

Les administrateurs doivent examiner les contrôles sur la collaboration, les terminaux et la sécurité des identités :

  • Renforcez l’accès externe à Teams et examinez les politiques de communication cross-tenant.
  • Formez les utilisateurs à traiter avec méfiance les sollicitations non demandées du helpdesk ou de la sécurité dans Teams, surtout lors d’un premier contact.
  • Restreignez ou surveillez Quick Assist et les autres outils de support à distance lorsque c’est possible.
  • Surveillez les chaînes de processus suspectes telles que QuickAssist.exe suivi de cmd.exe ou PowerShell.
  • Surveillez l’activité de mouvement latéral impliquant WinRM et des logiciels de gestion à distance inattendus.
  • Examinez les signaux d’exfiltration de données liés à des outils comme Rclone ou à des destinations de stockage cloud inhabituelles.
  • Utilisez Microsoft Defender XDR pour corréler la télémétrie liée aux identités, aux terminaux et à Teams afin de détecter plus tôt.

Conclusion

Les recherches de Microsoft montrent que les plateformes de collaboration font désormais partie du paysage actif des intrusions. Les équipes de sécurité doivent considérer l’usurpation d’identité via Teams et l’assistance à distance approuvée par l’utilisateur comme des vecteurs à haut risque, et mettre à jour en conséquence leurs playbooks de supervision, de sensibilisation des utilisateurs et de réponse.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Security Research Team
Microsoft TeamsQuick AssistMicrosoft Defender XDRdata exfiltrationphishing

Articles connexes

Security

Microsoft Defender predictive shielding stoppe les attaques AD

Microsoft a expliqué comment le predictive shielding de Defender peut contenir la compromission d’un domaine Active Directory en restreignant les comptes à privilèges élevés exposés avant que des attaquants ne réutilisent des identifiants volés. Cette capacité aide les équipes de sécurité à réduire les mouvements latéraux et à combler l’écart de réponse lors d’attaques d’identité rapides.

Security

Intrusion macOS Sapphire Sleet : points clés Defender

Microsoft Threat Intelligence a détaillé une campagne ciblant macOS menée par Sapphire Sleet, qui s’appuie sur l’ingénierie sociale et de fausses mises à jour logicielles plutôt que sur l’exploitation de vulnérabilités. La chaîne d’attaque repose sur l’exécution par l’utilisateur d’AppleScript et de commandes Terminal pour contourner les protections natives de macOS, ce qui rend particulièrement importantes les défenses multicouches, la sensibilisation des utilisateurs et la détection sur les endpoints.

Security

Stratégie d’inventaire cryptographique quantique

Microsoft incite les organisations à considérer l’inventaire cryptographique comme la première étape concrète vers la préparation post-quantique. L’entreprise présente un cycle continu de gestion de la posture cryptographique pour aider les équipes de sécurité à découvrir, évaluer, prioriser et corriger les risques cryptographiques dans le code, les réseaux, l’exécution et le stockage.

Security

Réponse aux incidents IA : ce que la sécurité change

Microsoft indique que les principes traditionnels de réponse aux incidents restent valables pour les systèmes d’IA, mais que les équipes doivent s’adapter aux comportements non déterministes, à des dommages plus rapides à grande échelle et à de nouvelles catégories de risques. L’entreprise souligne la nécessité d’une meilleure télémétrie IA, de plans de réponse transverses et d’une remédiation par étapes pour contenir rapidement les problèmes pendant que des correctifs à plus long terme sont développés.

Security

SOC agentique Microsoft : vision du futur SecOps

Microsoft présente un modèle de « SOC agentique » qui combine interruption autonome des menaces et agents IA pour accélérer les investigations et réduire la fatigue liée aux alertes. Cette approche vise à faire évoluer les opérations de sécurité d’une réponse réactive aux incidents vers une défense plus rapide et plus adaptative, afin de laisser davantage de temps aux équipes SOC pour la réduction stratégique des risques et la gouvernance.

Security

Attaques de paie Storm-2755 contre des employés canadiens

Microsoft a détaillé une campagne Storm-2755 à motivation financière visant des employés canadiens avec des attaques de détournement de paie. L’acteur malveillant a utilisé le SEO poisoning, le malvertising et des techniques d’adversary-in-the-middle pour voler des sessions, contourner le MFA hérité et modifier les informations de dépôt direct, faisant du MFA résistant au phishing et de la surveillance des sessions des défenses essentielles.