Security

Détournement DNS sur routeurs SOHO : alerte Microsoft

3 min de lecture

Résumé

Microsoft Threat Intelligence indique que Forest Blizzard a compromis des routeurs domestiques et de petits bureaux vulnérables afin de détourner le trafic DNS et, dans certains cas, de permettre des attaques adversary-in-the-middle contre des connexions ciblées. Cette campagne est importante pour les équipes IT, car des appareils SOHO non gérés utilisés par des employés en télétravail ou en mode hybride peuvent exposer l’accès au cloud et des données sensibles, même lorsque les environnements d’entreprise restent sécurisés.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft a révélé une campagne de grande ampleur dans laquelle Forest Blizzard, un acteur de menace lié au renseignement militaire russe, a compromis des routeurs SOHO vulnérables et modifié leurs paramètres DNS. Pour les organisations comptant des employés en télétravail ou en mode hybride, cela rappelle de manière critique que les équipements réseau domestiques et de petits bureaux non gérés peuvent devenir un angle mort exposant l’accès à Microsoft 365 et d’autres flux sensibles.

Quoi de neuf

Selon Microsoft Threat Intelligence, l’acteur est actif au moins depuis août 2025 et a utilisé des équipements en périphérie compromis pour créer à grande échelle une infrastructure DNS malveillante.

Principales conclusions

  • Forest Blizzard a modifié les configurations des routeurs pour orienter les appareils vers des résolveurs DNS contrôlés par l’acteur.
  • Microsoft a identifié plus de 200 organisations et 5 000 appareils grand public affectés par l’infrastructure DNS malveillante.
  • La campagne a permis une collecte DNS passive et de la reconnaissance sur les réseaux ciblés.
  • Dans un sous-ensemble de cas, l’acteur a exploité cette position pour prendre en charge des attaques Transport Layer Security (TLS) adversary-in-the-middle (AiTM).
  • Microsoft a observé un ciblage ultérieur de domaines Outlook on the web ainsi qu’une activité AiTM distincte contre des serveurs gouvernementaux en Afrique.

Pourquoi c’est important pour les administrateurs IT

L’enseignement principal est que les contrôles de sécurité de l’entreprise ne protègent pas totalement le trafic si le routeur en amont d’un utilisateur est compromis. Un routeur domestique ou de petit bureau peut rediriger silencieusement les requêtes DNS, donnant à un attaquant une visibilité sur les domaines demandés et, dans certains scénarios, la possibilité d’usurper les réponses et de tenter une interception du trafic.

Pour les clients Microsoft 365, cela est particulièrement pertinent lorsque les utilisateurs accèdent à Outlook on the web ou à d’autres services cloud depuis des réseaux non gérés. Même si les services Microsoft eux-mêmes ne sont pas compromis, les utilisateurs peuvent malgré tout être exposés s’ils ignorent des avertissements de certificat TLS invalide ou si une activité DNS suspecte passe inaperçue.

Actions recommandées

Microsoft recommande plusieurs mesures d’atténuation immédiates :

  • Évaluer les risques liés aux équipements réseau domestiques et de petits bureaux des utilisateurs distants.
  • Imposer une résolution DNS de confiance lorsque cela est possible, notamment avec des contrôles Zero Trust DNS (ZTDNS) sur les terminaux Windows.
  • Activer la protection réseau et la protection web dans Microsoft Defender for Endpoint.
  • Bloquer les domaines malveillants connus et conserver des journaux DNS détaillés pour la surveillance et l’investigation.
  • Auditer les configurations des routeurs et des équipements en périphérie, en particulier les paramètres DNS et DHCP.
  • Veiller à ce que les appareils SOHO vulnérables soient corrigés, configurés de manière sécurisée ou remplacés s’ils ne sont plus pris en charge.
  • Former les utilisateurs à ne pas contourner les avertissements de certificat TLS.

En bref

Cette campagne montre comment des attaquants peuvent exploiter des équipements en périphérie faiblement gérés pour obtenir de la visibilité sur des cibles d’entreprise à plus forte valeur. Les équipes de sécurité doivent élargir leur modèle de menace au-delà de l’infrastructure d’entreprise et intégrer les équipements réseau de home office dans leurs stratégies de protection de l’accès distant et de Microsoft 365.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Threat Intelligence
DNS hijackingSOHO routersMicrosoft DefenderAiTMForest Blizzard

Articles connexes

Security

Storm-1175 et Medusa ransomware ciblent le web

Microsoft Threat Intelligence avertit que Storm-1175 exploite rapidement des systèmes exposés à Internet et vulnérables pour déployer le ransomware Medusa, parfois dans les 24 heures suivant l’accès initial. L’accent mis par le groupe sur les failles récemment divulguées, les web shells, les outils RMM et les mouvements latéraux rapides rend essentiels la rapidité des correctifs, la gestion de l’exposition et la détection post-compromission pour les défenseurs.

Security

Phishing device code par IA : campagne en hausse

Microsoft Defender Security Research a détaillé une campagne de phishing à grande échelle qui abuse du flux OAuth device code à l’aide de leurres générés par IA, d’une génération dynamique de codes et d’une infrastructure backend automatisée. Cette campagne accroît le risque pour les organisations, car elle améliore le taux de réussite des attaquants, contourne les schémas de détection traditionnels et permet le vol de jetons, la persistance via des règles de boîte de réception et la reconnaissance via Microsoft Graph.

Security

Cyberattaques IA : menaces sur toute la chaîne

Microsoft avertit que les acteurs de la menace intègrent désormais l’IA sur l’ensemble du cycle de vie des cyberattaques, de la reconnaissance et du phishing au développement de malware et aux opérations post-compromission. Pour les défenseurs, cela signifie des attaques plus rapides, plus précises, des taux de réussite du phishing plus élevés et un besoin croissant de renforcer les identités, les protections MFA et la visibilité sur les surfaces d’attaque pilotées par l’IA.

Security

Webshells PHP sur Linux : évasion via cookies

Microsoft avertit que des acteurs malveillants utilisent des cookies HTTP pour contrôler des webshells PHP dans des environnements d’hébergement Linux, permettant au code malveillant de rester inactif tant que certaines valeurs de cookie ne sont pas présentes. Cette technique réduit la visibilité dans les journaux courants, favorise la persistance via des tâches cron et souligne la nécessité d’un monitoring renforcé, d’une meilleure protection web et d’une détection endpoint sur les charges de travail Linux hébergées.

Security

Compromission npm Axios : guide de mitigation

Microsoft a averti que les versions malveillantes d’Axios sur npm 1.14.1 et 0.30.4 ont été utilisées dans une attaque de la chaîne d’approvisionnement attribuée à Sapphire Sleet. Les organisations utilisant les packages affectés doivent immédiatement faire une rotation des secrets, revenir à des versions sûres et examiner les postes développeur ainsi que les systèmes CI/CD pour détecter toute compromission.

Security

Préparation sécurité infrastructures critiques 2026

Microsoft indique que le modèle de menace visant les infrastructures critiques est passé d’attaques opportunistes à des accès persistants, pilotés par l’identité, conçus pour perturber ultérieurement les opérations. Pour les responsables IT et sécurité, le message est clair : réduire l’exposition, renforcer l’identité et valider dès maintenant la préparation opérationnelle, alors que la réglementation et l’activité des États-nations s’intensifient.