Source : Microsoft Security Blog — Raji Dani (Deputy CISO) décrit les risques inhérents aux opérations de support client et l’architecture de durcissement mise en place chez Microsoft face aux attaques, y compris celles d’acteurs étatiques comme Midnight Blizzard.
Microsoft souligne que les outils de support disposent d’accès puissants convoités par les cyberattaquants pour atteindre des données sensibles et des environnements critiques. L’approche vise à empêcher le mouvement latéral et à détecter précocement les anomalies dans l’infrastructure de support.
Principaux contrôles techniques déployés 🛡️:
- Identités de support dédiées et isolées (distinctes des comptes employés), protégées par Privileged Role Multifactor Authentication (PRMFA).
- RBAC basé sur les cas appliquant le just-in-time et just-enough-access, sans accès permanent (« no standing access »).
- Postes virtuels gérés et restreints empêchant les téléchargements de logiciels non autorisés.
- Outils de support à permissions étroitement délimitées et confiance inter-services minimale pour bloquer tout mouvement latéral vers les environnements de production.
- Télémétrie étendue sur les couches identité et outils, pour la détection d’anomalies et la réponse à incident, en tirant parti de la frontière d’identité dédiée pour des opérations ciblées.
TTPs évoqués 🧰:
- Ciblage des outils de support disposant d’accès privilégiés.
- Tentatives de mouvement latéral vers des environnements de production.
- Abus potentiel de confiance inter-services.
IOCs: non fournis dans l’article.
Type d’article: recommandation de sécurité, visant à présenter une architecture et des contrôles concrets pour durcir les outils de support client et limiter les risques d’abus d’accès.
🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/10/15/the-importance-of-hardening-customer-support-tools-against-attack/