Les e-mails de Microsoft qui avertissent les clients des piratages russes sont critiqués pour ressembler à du spam et du phishing

En mars, Microsoft a confirmé que des pirates informatiques du gouvernement russe connus sous le nom de Midnight Blizzard (ou APT29) avaient pénétré dans ses systèmes dans le but de voler divers types d'informations, notamment des données sur les clients de Microsoft.

Des mois plus tard, Microsoft est toujours en train d'avertir ses clients concernés, et il semble que le processus ne se déroule pas très bien, les experts critiquant Microsoft pour l'envoi d'e-mails qui ressemblent à du spam, voire à des tentatives de phishing.

Kevin Beaumont, ancien employé de Microsoft et désormais chercheur en cybersécurité qui suit de près l'entreprise, a averti les entreprises de garder un œil sur ces e-mails Microsoft.

« Microsoft a subi une violation en Russie qui a eu un impact sur les données des clients et n'a pas suivi le processus de violation des données clients de Microsoft 365. Les notifications ne sont pas dans le portail, elles ont été envoyées par e-mail aux administrateurs des locataires », a écrit Beaumont sur son compte LinkedIn. « Les e-mails peuvent être envoyés dans les spams, et les comptes d'administrateurs des locataires sont censés être des comptes sécurisés sans e-mail. Ils n'ont pas non plus informé les organisations via les gestionnaires de compte. Vous devez vérifier tous les e-mails remontant à juin. C'est répandu. »

L'un des principaux problèmes des e-mails de notification de Microsoft est qu'ils contiennent un « lien sécurisé » vers un domaine qui n'a aucun lien apparent avec Microsoft. Au lieu de cela, l'e-mail contient un lien vers : « purviewcustomer.powerappsportals.com ».

« Fondamentalement, l’alerte critique ressemble à une attaque de phishing », a écrit une personne sur X.

Ce lien a été envoyé à urlscan.io, un site qui peut aider à repérer les liens malveillants, plus d'une centaine de fois. Cela suggère qu'un grand nombre d'organisations ont vu cet e-mail officiel et légitime de Microsoft et ont pensé qu'il était malveillant.

Contactez-nous

Avez-vous plus d'informations sur cet incident Microsoft ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail. Vous pouvez également contacter Testeur Joe via SecureDrop.

Les soumissions d'urlscan.io suggèrent également qu'au moins une centaine d'entreprises ont été touchées par le piratage informatique du gouvernement russe contre Microsoft. L'agence américaine de cybersécurité CISA avait précédemment déclaré que les pirates russes avaient également volé les e-mails de plusieurs agences fédérales.

Outre les avertissements de Beaumont, certains éléments semblent indiquer que les clients de Microsoft sont légitimement dans la confusion. Sur un portail d'assistance Microsoft, un client a partagé l'e-mail reçu par son organisation pour tenter de savoir s'il s'agissait d'un véritable e-mail Microsoft.

« Cet e-mail contient plusieurs signaux d'alarme pour moi, la demande du TenantID et essentiellement des adresses e-mail d'administrateur ou de haut niveau, la page PowerApps étant rudimentaire et une recherche rapide sur Google ne trouvant rien en rapport avec le titre de cet e-mail ou son [sic] “Contenu”, a écrit la personne. “Quelqu'un peut-il confirmer qu'il s'agit d'une demande de courrier électronique Microsoft légitime ?”

Commentant la publication LinkedIn de Beaumont, un consultant en cybersécurité a déclaré que « plusieurs » de ses clients avaient reçu l'e-mail et « tous craignaient qu'il s'agisse d'une tentative de phishing ».

« À première vue, cela n’a pas inspiré confiance aux destinataires, qui ont commencé à poser des questions sur les forums ou à contacter les gestionnaires de compte Microsoft pour finalement confirmer que l’e-mail était légitime… une façon étrange pour un fournisseur comme celui-ci de communiquer un problème important à des clients potentiellement concernés », a écrit le consultant.

Les porte-parole de Microsoft n'ont pas répondu lorsque Testeur Joe a demandé combien d'organisations avaient été informées ou si la société prévoyait de modifier la manière dont elle informe les clients concernés.

rewrite this content and keep HTML tags

En mars, Microsoft a confirmé que des pirates informatiques du gouvernement russe connus sous le nom de Midnight Blizzard (ou APT29) avaient pénétré dans ses systèmes dans le but de voler divers types d'informations, notamment des données sur les clients de Microsoft.

Des mois plus tard, Microsoft est toujours en train d'avertir ses clients concernés, et il semble que le processus ne se déroule pas très bien, les experts critiquant Microsoft pour l'envoi d'e-mails qui ressemblent à du spam, voire à des tentatives de phishing.

Kevin Beaumont, ancien employé de Microsoft et désormais chercheur en cybersécurité qui suit de près l'entreprise, a averti les entreprises de garder un œil sur ces e-mails Microsoft.

« Microsoft a subi une violation en Russie qui a eu un impact sur les données des clients et n'a pas suivi le processus de violation des données clients de Microsoft 365. Les notifications ne sont pas dans le portail, elles ont été envoyées par e-mail aux administrateurs des locataires », a écrit Beaumont sur son compte LinkedIn. « Les e-mails peuvent être envoyés dans les spams, et les comptes d'administrateurs des locataires sont censés être des comptes sécurisés sans e-mail. Ils n'ont pas non plus informé les organisations via les gestionnaires de compte. Vous devez vérifier tous les e-mails remontant à juin. C'est répandu. »

L'un des principaux problèmes des e-mails de notification de Microsoft est qu'ils contiennent un « lien sécurisé » vers un domaine qui n'a aucun lien apparent avec Microsoft. Au lieu de cela, l'e-mail contient un lien vers : « purviewcustomer.powerappsportals.com ».

« Fondamentalement, l’alerte critique ressemble à une attaque de phishing », a écrit une personne sur X.

Ce lien a été envoyé à urlscan.io, un site qui peut aider à repérer les liens malveillants, plus d'une centaine de fois. Cela suggère qu'un grand nombre d'organisations ont vu cet e-mail officiel et légitime de Microsoft et ont pensé qu'il était malveillant.

Contactez-nous

Avez-vous plus d'informations sur cet incident Microsoft ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail. Vous pouvez également contacter Testeur Joe via SecureDrop.

Les soumissions d'urlscan.io suggèrent également qu'au moins une centaine d'entreprises ont été touchées par le piratage informatique du gouvernement russe contre Microsoft. L'agence américaine de cybersécurité CISA avait précédemment déclaré que les pirates russes avaient également volé les e-mails de plusieurs agences fédérales.

Outre les avertissements de Beaumont, certains éléments semblent indiquer que les clients de Microsoft sont légitimement dans la confusion. Sur un portail d'assistance Microsoft, un client a partagé l'e-mail reçu par son organisation pour tenter de savoir s'il s'agissait d'un véritable e-mail Microsoft.

« Cet e-mail contient plusieurs signaux d'alarme pour moi, la demande du TenantID et essentiellement des adresses e-mail d'administrateur ou de haut niveau, la page PowerApps étant rudimentaire et une recherche rapide sur Google ne trouvant rien en rapport avec le titre de cet e-mail ou son [sic] “Contenu”, a écrit la personne. “Quelqu'un peut-il confirmer qu'il s'agit d'une demande de courrier électronique Microsoft légitime ?”

Commentant la publication LinkedIn de Beaumont, un consultant en cybersécurité a déclaré que « plusieurs » de ses clients avaient reçu l'e-mail et « tous craignaient qu'il s'agisse d'une tentative de phishing ».

« À première vue, cela n’a pas inspiré confiance aux destinataires, qui ont commencé à poser des questions sur les forums ou à contacter les gestionnaires de compte Microsoft pour finalement confirmer que l’e-mail était légitime… une façon étrange pour un fournisseur comme celui-ci de communiquer un problème important à des clients potentiellement concernés », a écrit le consultant.

Les porte-parole de Microsoft n'ont pas répondu lorsque Testeur Joe a demandé combien d'organisations avaient été informées ou si la société prévoyait de modifier la manière dont elle informe les clients concernés.

Laisser un commentaire