Histoire en vedette

Une nouvelle attaque de mise à niveau permet de contourner l’authentification FIDO dans Microsoft Entra ID

Des chercheurs en sécurité ont créé une nouvelle attaque de déclassement FIDO contre Microsoft Entra ID qui incite les utilisateurs à s’authentifier avec des méthodes de connexion plus faibles, ce qui les rend susceptibles d’être victimes d’hameçonnage et de détournement de session.

L’attaque utilise un phishlet personnalisé dans le cadre Evilginx pour usurper Safari sur Windows, qui n’est pas compatible avec l’authentification basée sur FIDO dans Microsoft Entra ID.

Comme le phishlet usurpe un agent utilisateur de navigateur non pris en charge, Microsoft Entra ID désactive l’authentification FIDO et invite l’utilisateur à choisir une autre méthode de vérification de secours.

Si l’utilisateur utilise d’autres méthodes, le proxy AiTM intercepte ses informations d’identification et son cookie de session, ce qui lui donne un accès complet au compte de la victime.

Analyse SOC : Cette attaque met en évidence des lacunes critiques dans les mécanismes de repli FIDO. Envisagez de mettre en œuvre des politiques d’accès conditionnel strictes qui bloquent l’authentification à partir de combinaisons de navigateurs non prises en charge et de restreindre les options alternatives de MFA pour les comptes privilégiés afin de réduire la surface d’attaque.

Autres histoires

L’essor du phishing natif : les applications Microsoft 365 utilisées dans les attaques

Les attaquants partagent des fichiers ou des liens malveillants entre les organisations en utilisant des fonctions de collaboration intégrées et fiables à partir de comptes compromis, une tactique appelée « phishing natif ».

Microsoft OneNote est de plus en plus utilisé dans les attaques de phishing parce qu’il n’est pas soumis à Protected View et permet d’intégrer des fichiers ou des liens malveillants. Après avoir obtenu les identifiants M365, les auteurs de la menace ont créé des fichiers OneNote dans les dossiers OneDrive des utilisateurs compromis, en y intégrant des URL de leurre.

Les sites de phishing ont été construits à l’aide d’outils gratuits de création de sites Web dotés d’une intelligence artificielle, tels que Flazio, ce qui a permis aux pirates de créer facilement des répliques convaincantes.

Analyse SOC : Le phishing natif représente une évolution significative des tactiques d’attaque qui exploite la confiance inhérente aux outils de collaboration internes. Les organisations doivent mettre en œuvre des contrôles plus stricts du partage M365 et établir des lignes de base comportementales pour les activités de partage de fichiers afin d’identifier les comptes compromis qui s’engagent dans des campagnes de phishing latéral.

Des détails émergent sur les attaques de type « zero-day » de WinRAR qui ont infecté des PC avec des logiciels malveillants.

Des chercheurs ont publié un rapport décrivant comment une vulnérabilité récente de WinRAR (CVE-2025-8088) a été exploitée par le groupe russe « RomCom » pour diffuser des logiciels malveillants.

L’attaque utilise des charges utiles ADS cachées dans des archives RAR malveillantes pour extraire des DLL et des raccourcis dans les répertoires %TEMP% ou %LOCALAPPDATA%, ce qui permet l’exécution lors de la connexion de l’utilisateur.

WinRAR a publié un correctif le 30 juillet 2025 (v7.13).

Analyse SOC : Les organisations devraient imposer l’application immédiate de la version 7.13+ de WinRAR et envisager la mise en place d’une liste d’autorisation des applications afin d’empêcher l’exécution d’exécutables non autorisés à partir de répertoires temporaires.

Vous voulez gagner de l’argent facilement derrière votre ordinateur ? Ne tombez pas dans le piège de l’escroquerie

Les arnaques à la tâche font croire aux victimes qu’elles peuvent gagner de l’argent en accomplissant de simples tâches en ligne. Après les premiers faux paiements, les escrocs demandent des dépôts pour débloquer d’autres « gains », ce qui entraîne des pertes financières.

Les escrocs se font passer pour de vraies agences et utilisent des plateformes de messagerie courantes pour attirer les victimes.

Analyse du SOC : Ces escroqueries instaurent la confiance par le biais de paiements anticipés d’apparence légitime. Informez vos employés, en particulier ceux qui travaillent à distance, qu’ils doivent se méfier des offres d’emploi non sollicitées. Les messages suspects peuvent être transférés à verdacht@safeonweb.be, suspect@safeonweb.be ou suspicious@safeonweb.be.