Attaques de vishing Teams via Quick Assist : alerte

Introduction

Le dernier rapport de la série Cyberattack Series de Microsoft constitue un avertissement opportun pour les équipes de sécurité : les attaquants n’ont pas toujours besoin d’une vulnérabilité non corrigée pour obtenir un accès. Dans ce cas, un acteur malveillant a utilisé le voice phishing sur Microsoft Teams, s’est fait passer pour le support IT et a convaincu un employé d’autoriser un accès à distance via Quick Assist, transformant des flux de travail courants de collaboration et de support en point d’entrée.

Ce qui s’est passé

Selon Microsoft Incident Response (DART), l’attaque a commencé par un vishing persistant sur Microsoft Teams. Après deux tentatives infructueuses, l’attaquant a persuadé un troisième employé d’approuver une session Quick Assist.

Une fois connecté, l’acteur malveillant a agi rapidement :

• A dirigé l’utilisateur vers un site web malveillant contrôlé par l’attaquant
• A capturé des identifiants d’entreprise via un formulaire de connexion usurpé
• A téléchargé plusieurs charges utiles malveillantes sur l’appareil
• A utilisé un package MSI déguisé pour effectuer un sideload d’une DLL malveillante
• A établi un command-and-control à l’aide de mécanismes Windows de confiance
• A étendu son accès avec des loaders chiffrés, l’exécution de commandes à distance, la collecte d’identifiants et le détournement de session

Microsoft a indiqué que l’attaquant s’est fortement appuyé sur des outils d’administration légitimes et des techniques conçues pour se fondre dans l’activité normale de l’entreprise.

Pourquoi c’est important pour les équipes IT et sécurité

Cet incident reflète un modèle d’attaque croissant centré d’abord sur l’identité, dans lequel la confiance est la cible principale. Les plateformes de collaboration comme Teams peuvent être détournées pour créer un sentiment d’urgence et de légitimité, surtout lorsque les utilisateurs pensent interagir avec le personnel de support interne.

Pour les administrateurs, l’enseignement clé est que des outils intégrés comme Quick Assist et des utilitaires courants de gestion à distance peuvent devenir à haut risque lorsque la gouvernance est insuffisante. Les défenses traditionnelles axées principalement sur les signatures de malware ou la détection d’exploits peuvent passer à côté des premières étapes d’ingénierie sociale et d’activité hands-on-keyboard.

Réponse de Microsoft

DART a confirmé que la compromission provenait d’une interaction de vishing réussie sur Teams et a agi pour contenir la menace avant qu’elle ne puisse s’étendre davantage. Microsoft indique que :

• L’activité a été de courte durée et de portée limitée
• Les intervenants se sont concentrés sur la protection des actifs privilégiés et la limitation des mouvements latéraux
• L’analyse forensique n’a trouvé aucun mécanisme de persistance restant
• Les objectifs plus larges de l’attaquant n’ont pas été atteints

Prochaines étapes recommandées

Les organisations devraient revoir immédiatement à la fois les contrôles de collaboration et d’accès à distance :

• Restreindre les communications Teams entrantes provenant de comptes externes non gérés
• Envisager une allowlist des domaines externes approuvés pour les contacts Teams
• Réaliser un inventaire des outils de supervision à distance et de support à distance utilisés
• Supprimer ou désactiver Quick Assist là où il n’est pas nécessaire
• Former les utilisateurs à vérifier les demandes du support IT via des canaux internes approuvés
• Surveiller l’utilisation suspecte d’outils d’administration légitimes et les sessions à distance inhabituelles

En résumé

Ce rapport rappelle clairement que les intrusions modernes commencent souvent par la persuasion, et non par l’exploitation. Les équipes de sécurité devraient durcir l’accès externe à Teams, réduire les outils de support à distance inutiles et renforcer les processus de vérification des utilisateurs afin de rendre les attaques fondées sur la confiance plus difficiles à exécuter.