Entra ID

Le groupe hacktiviste pro-palestinien Handala, lié à l’Iran, a compromis les credentials Global Admin de Stryker Corporation pour déclencher un wipe massif via Microsoft Intune le 11 mars 2026. 🗓️ Contexte Source : ThreatHunter.ai, publié le 21 mars 2026. L’article analyse l’attaque destructrice menée par Handala contre Stryker Corporation, fabricant américain de dispositifs médicaux, dans la nuit du 11 mars 2026. 💥 Déroulement de l’attaque Les attaquants ont compromis l’environnement Microsoft Entra ID de Stryker et obtenu des credentials Global Administrator. Ils ont ensuite émis des commandes de wipe à distance en masse via Microsoft Intune, la plateforme MDM cloud de l’entreprise. L’attaque a débuté juste après minuit EDT et a touché : ...

Source: SpecterOps (billet de blog, 19 nov. 2025). Contexte: Publication de recherche détaillant une vulnérabilité de SCCM intégrée à Entra ID, assignée CVE-2025-59501, avec un correctif publié le 27 oct. 2025 (KB35360093) et une chronologie de divulgation. Le billet explique que, sur des sites SCCM intégrés à Microsoft Entra ID (CMG/Co-management) et avant le correctif KB35360093, l’API AdminService valide un jeton Entra puis extrait l’UPN pour réaliser une impersonation Kerberos S4U d’un compte Active Directory correspondant, sans contrôle d’autorisation supplémentaire sur l’UPN. Cela permettait d’exécuter des opérations WMI côté SMS Provider « au nom » de n’importe quelle identité AD mappable via l’UPN. ...

Dans un billet de blog publié le 17 septembre 2025, le chercheur Dirk-jan Mollema détaille la vulnérabilité la plus impactante qu’il dit avoir trouvée dans Entra ID : un défaut de validation dans l’API Azure AD Graph combiné à des « Actor tokens » internes permettait d’usurper n’importe quel utilisateur — y compris des Global Admins — dans tout tenant, aboutissant à une compromission totale. Microsoft a corrigé rapidement et attribué l’identifiant CVE-2025-55241. ...

Microsoft renforce sa sécurité cloud après une cyberattaque d’État Suite à une cyberattaque attribuée à un groupe soutenu par un État (probablement chinois), Microsoft annonce de grandes avancées dans son Secure Future Initiative (SFI), lancé en novembre 2023 pour élever son niveau de cybersécurité. Parmi les actions principales : Clés de signature sécurisées : Toutes les clés sensibles de Microsoft Account (MSA) et Entra ID sont désormais stockées dans des modules matériels sécurisés ou des machines virtuelles confidentielles Azure, avec rotation automatique pour limiter le risque de vol. Authentification renforcée : 90 % des comptes internes de Microsoft utilisent désormais une authentification multifacteur résistante au phishing. Défense en profondeur : Des protections supplémentaires ont été mises en place après des tests internes Red Team. Nettoyage du cloud : Microsoft a supprimé 6,3 millions de locataires Azure inactifs pour réduire la surface d’attaque. Migration sécurisée : 88 % des ressources cloud actives ont été déplacées sous Azure Resource Manager pour un contrôle renforcé, et 4,4 millions d’identités gérées sont désormais limitées à des réseaux approuvés. Pourquoi ces changements ? En 2021, un ingénieur de Microsoft s’était fait pirater un compte contenant une clé sensible dans un fichier de crash, utilisée ensuite pour pénétrer dans Outlook.com et OWA. L’affaire a révélé des faiblesses critiques dans la protection des identités cloud. ...

Publié le 27 avril 2025, ce blog de Tenable Research examine les risques de cybersécurité associés aux options de synchronisation d’identités de Microsoft dans des environnements hybrides. La synchronisation des comptes d’identité entre Microsoft Active Directory (AD) et Entra ID est essentielle pour l’expérience utilisateur, car elle synchronise sans problème les identités, les identifiants et les groupes entre les systèmes sur site et basés sur le cloud. Cependant, Tenable Research a identifié que certaines options de synchronisation peuvent introduire des risques de cybersécurité qui s’étendent au-delà des locataires hybrides. Malgré l’introduction de deux nouvelles mesures de durcissement de la sécurité par Microsoft en 2024, l’accès aux API de synchronisation critiques est toujours possible. De plus, la nouvelle application ‘Microsoft Entra AD Synchronization Service’ expose la permission privilégiée ADSynchronization.ReadWrite.All, introduisant un autre chemin d’attaque potentiel que les équipes de sécurité doivent surveiller de près. ...