« Cette attaque est un exemple significatif d’une attaque supply chain bien exécutée qui compromet un outil d’administration informatique populaire comme mécanisme de pénétration. L’exploitation ultérieure des contrôles d’authentification a permis aux attaquants de pivoter vers le Cloud et d’opérer dans Microsoft 365 sans être détectés pendant une longue période, ce qui leur a permis de recueillir des renseignements.

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) du gouvernement américain a publié une directive d’urgence appelant « toutes les agences fédérales américaines à examiner leurs réseaux à la recherche d’indicateurs de compromission et à déconnecter ou éteindre immédiatement les produits SolarWinds Orion ».

Dans son Sportlight Report dédié aux attaques ciblant Microsoft 365 publié en octobre 2020, Vectra soulignait le ciblage par les cyberattaquants d’outils et fonctionnalités légitimes de Microsoft 365 (authentification OAuth, le MFA, outils de recherche eDiscovery, etc.) leur permettant de pénétrer les systèmes et de contourner les contrôles de sécurité tout en demeurant cachés :

« Alors que les organisations deviennent de plus en plus des environnements hybrides dans le Cloud, nous avons vu les attaquants se concentrer sur les accès à privilèges et l’utilisation d’outils légitimes pour des actions malveillantes. Par exemple, dans une étude récente portant sur 4 millions de comptes Microsoft 365, nous avons identifié que 96 % des organisations présentaient des comportements de déplacements latéraux, notamment l’authentification multi-facteurs (MFA) et des contrôles de sécurité intégrés qui sont contournés. Un attaquant peut alors en quelques clics, reconfigurer les règles du courrier électronique, compromettre les magasins de fichiers SharePoint et OneDrive, et mettre en place des capacités de reconnaissance et d’exfiltration persistantes en utilisant les outils intégrés du M365 tels que eDiscovery et Power Automate. Les possibilités de ce type d’attaques sont vastes et croissantes. Cela souligne la nécessité pour les équipes de sécurité de pouvoir relier toutes les interactions entre les hôtes et les comptes lorsqu’elles passent d’un environnement Cloud à un environnement sur site dans une vue consolidée. Les équipes de sécurité doivent également réduire considérablement le risque global de failles en obtenant une visibilité et une compréhension instantanées de qui accède aux données (et de tout changement de configuration) indépendamment de la manière dont elles le font et d’où elles le font. »