Une ancienne connexion à Microsoft Entra ID exploitée pour pirater des comptes cloud

Une faille dans l'ancien identifiant de connexion de Microsoft Entra ID a permis aux attaquants de contourner l'authentification multifacteur (MFA), ciblant les comptes administrateurs des secteurs de la finance, de la santé et de la technologie.

La société de cybersécurité Guardz a découvert une campagne ciblée exploitant une faiblesse dans les protocoles d'authentification hérités de Microsoft Entra ID, permettant aux attaquants de contourner les mesures de sécurité modernes comme l'authentification multifacteur ( MFA ).

Les attaques, qui ont eu lieu entre le 18 mars et le 7 avril 2025, ont utilisé l'authentification de base version 2 - Resource Owner Password Credential ( BAV2ROPC ), une méthode de connexion héritée, pour obtenir un accès non autorisé, soulignant les dangers d'une authentification obsolète dans les environnements cloud.

Cette campagne, selon le rapport de Guardz, partagé avec Hackread.com, ciblait divers secteurs, notamment les services financiers, la santé, la fabrication et les services technologiques.

Cet incident fait suite aux nombreux blocages de comptes Microsoft Entra ID signalés par Hackread.com en avril 2025, causés par une erreur interne de Microsoft liée aux jetons d'actualisation et à l'application de révocation des identifiants MACE. Si le rapport de Hackread détaillait des blocages involontaires dus à un problème interne, la découverte de Guardz met en évidence une exploitation délibérée des vulnérabilités d'Entra ID par des acteurs malveillants.

L'unité de recherche Guardz (GRU) a découvert que les acteurs de la menace exploitaient activement BAV2ROPC, une fonctionnalité de compatibilité d'Entra ID qui permet aux anciennes applications de s'authentifier à l'aide de noms d'utilisateur et de mots de passe simples.

Contrairement aux processus de connexion interactifs contemporains qui imposent l'authentification multifacteur (MFA) et d'autres contrôles de sécurité, BAV2ROPC fonctionne de manière non interactive. Cette différence essentielle permet aux attaquants de contourner complètement l'authentification multifacteur (MFA), les politiques d'accès conditionnel , et même les alertes de connexion et la vérification de présence des utilisateurs, rendant ainsi ces protections modernes inefficaces.

L'attaque s'est déroulée en deux phases distinctes, commençant par une phase « d'initialisation » entre le 18 et le 20 mars, caractérisée par une intensité de sondage plus faible, avec une moyenne d'environ 2 709 tentatives de connexion suspectes par jour.

S'en est suivie une phase d'« attaques soutenues », du 21 mars au 3 avril, marquée par une augmentation spectaculaire de l'activité, atteignant plus de 6 444 tentatives par jour (soit une hausse spectaculaire de 138 %). Cette escalade témoigne d'une nette évolution vers une exploitation agressive des vulnérabilités identifiées.

Guardz Research a recensé plus de 9 000 tentatives de connexion suspectes à Exchange, principalement en Europe de l'Est et en Asie-Pacifique. La campagne impliquait une diffusion automatisée d'identifiants et des tactiques de force brute, ciblant les terminaux hérités exposés.

Les attaques ciblaient divers vecteurs d’authentification hérités, avec plus de 90 % visant Exchange Online et la bibliothèque d’authentification Microsoft, avec une attention particulière portée aux comptes administrateurs.

« Les comptes administrateurs ont fait l'objet d'une attention particulière. Un sous-ensemble a reçu près de 10 000 tentatives provenant de 432 adresses IP en 8 heures » , a écrit Elli Shlomo de Guardz dans son article de blog .

Bien que la campagne ait diminué, Guardz prévient que la vulnérabilité persiste dans de nombreuses organisations qui s'appuient encore sur des protocoles tels que BAV2ROPC, SMTP AUTH, POP3 et IMAP4 pour leur compatibilité. Ces méthodes contournent l'authentification multifacteur (MFA) , ignorent l'accès conditionnel et permettent des connexions silencieuses et non interactives, créant ainsi une « porte dérobée », ont noté les chercheurs.

Dor Eisner, PDG et cofondateur de Guardz, a souligné la nature critique de ce problème, déclarant : « Cette campagne est un signal d'alarme, pas seulement sur une vulnérabilité, mais sur la nécessité plus large de retirer les technologies obsolètes qui ne répondent plus au paysage des menaces d'aujourd'hui. »

Pour atténuer les risques, Guardz exhorte les organisations à auditer et désactiver immédiatement l’authentification héritée, à appliquer l’authentification moderne avec MFA, à mettre en œuvre des politiques d’accès conditionnel pour bloquer les flux non pris en charge et à surveiller de près les activités de connexion inhabituelles.