Microsoft 365

Selon BleepingComputer, Microsoft (Digital Crimes Unit) et Cloudflare (Cloudforce One et Trust & Safety) ont mené début septembre 2025 une opération conjointe pour perturber l’opération de Phishing-as-a-Service (PhaaS) « RaccoonO365 », également suivie par Microsoft sous l’identifiant Storm-2246. Mesure de disruption : saisie de 338 sites web et comptes Cloudflare Workers liés à l’infrastructure RaccoonO365. Impact constaté : depuis juillet 2024, le groupe a volé au moins 5 000 identifiants Microsoft dans 94 pays. Les identifiants, cookies et autres données issus de OneDrive, SharePoint et des comptes e-mail ont été réutilisés pour des fraudes financières, extorsions ou comme accès initial à d’autres systèmes. En avril 2025, une campagne massive à thème fiscal a visé plus de 2 300 organisations aux États-Unis ; les kits ont aussi été utilisés contre plus de 20 organisations de santé américaines, avec des risques directs pour les patients (retards de soins, compromission de résultats, fuites de données). ...

Selon Trend Micro, des cybercriminels et acteurs étatiques détournent les fonctionnalités légitimes de Microsoft Power Automate pour mener des opérations discrètes, profitant de l’essor de l’automatisation et de lacunes de visibilité dans les environnements Microsoft 365. • Constat principal : des fonctionnalités natives et connecteurs de Power Automate sont utilisées pour des activités de Living off the Land, facilitant la fuite de données, la persistance, le contournement des contrôles, le Business Email Compromise (BEC), le soutien à des campagnes de ransomware et des opérations d’espionnage. ...

Selon Cato Networks, une campagne de phishing a abusé de l’infrastructure légitime de Simplified AI pour dérober des identifiants Microsoft 365, en combinant usurpation d’identité d’un cadre d’un distributeur pharmaceutique mondial et pièces jointes PDF protégées par mot de passe. Le mode opératoire s’est déroulé en quatre étapes : (1) envoi d’un email d’« executive impersonation » contenant un PDF protégé, (2) inclusion dans le PDF d’un lien vers la plateforme Simplified AI avec un habillage de marque usurpé, (3) redirection via le domaine app.simplified.com afin de conserver une apparence de légitimité, (4) bascule finale vers un portail de connexion Microsoft 365 contrefait hébergé sur pub-6ea00088375b43ef869e692a8b2770d2.r2.dev. ...

Source: Microsoft Community Hub (techcommunity.microsoft.com) — Microsoft annonce que les clients Exchange Online utilisant un domaine MOERA (onmicrosoft.com) pour envoyer des emails doivent migrer vers des domaines personnalisés, et introduit une limitation d’envoi pour réduire les abus et améliorer la réputation/délivrabilité des emails. 📧 Contexte et raison: Les domaines par défaut MOERA (par ex. contoso.onmicrosoft.com) servent au démarrage/test des locataires mais ne reflètent pas l’identité de marque et offrent un contrôle limité. Parce que ces domaines sont partagés, leur réputation est collective et dégradée par des abus (envois de spam depuis de nouveaux tenants avant intervention), impactant les usages légitimes. ...

Selon BleepingComputer, Varonis met en lumière une technique de « phishing natif » où des outils de confiance deviennent des vecteurs d’attaque. Les chercheurs montrent comment des applications Microsoft 365 – notamment OneNote et OneDrive – peuvent être instrumentalisées pour envoyer des leurres internes convaincants. Phishing natif : des attaquants exploitent les outils intégrés de Microsoft 365 pour diffuser des contenus malveillants en interne, évitant ainsi les filtres de sécurité traditionnels. Cette méthode, baptisée native phishing, s’appuie sur la confiance accordée aux applications par défaut et sur l’usage de services légitimes. ...

Selon BleepingComputer, Microsoft annonce que les applications Microsoft 365 pour Windows bloqueront par défaut l’accès aux fichiers via le protocole d’authentification hérité FPRPC, jugé non sécurisé, à partir de la fin du mois d’août. 🔒 Mesure annoncée : blocage par défaut de l’accès aux fichiers via FPRPC. 🧩 Produits concernés : applications Microsoft 365 pour Windows. 🗓️ Calendrier : déploiement à partir de fin août. 🎯 Motif mis en avant : le protocole FPRPC est considéré comme non sécurisé. Type d’article : mise à jour de produit. Objectif principal : informer du durcissement par défaut contre un protocole d’authentification hérité non sécurisé. ...

Selon bleepingcomputer.com, Microsoft a publié un avis de sécurité concernant une vulnérabilité haute gravité dans les déploiements Exchange Server hybrides qui peut permettre une élévation de privilèges dans Exchange Online, souvent sans traces auditables dans Microsoft 365. Dans les configurations hybrides, les serveurs Exchange on-premises et Exchange Online partagent le même service principal (identité de service) utilisé pour l’authentification. En abusant de cette identité partagée, un acteur ayant le contrôle de l’Exchange on-prem peut forger/manipuler des jetons de confiance ou des appels API acceptés par le cloud comme légitimes. ...

Cet article publié par Guardz analyse une méthodologie d’attaque ciblant SharePoint Online dans les environnements Microsoft 365. L’étude met en lumière comment les attaquants peuvent exploiter l’intégration étendue de SharePoint avec Graph API, Teams, OneDrive, et Power Platform pour obtenir un accès initial, maintenir une persistance, effectuer des mouvements latéraux, et exfiltrer des données. L’analyse technique détaille le cycle de vie complet de l’attaque, incluant des techniques de reconnaissance via Google dorking et l’énumération de Graph API, des méthodes d’accès initial par des malwares hébergés sur SharePoint et l’abus de jetons OAuth, des mécanismes de persistance via des flux Power Automate et des parties web cachées, ainsi que des mouvements latéraux à travers la collaboration sur des documents partagés. ...

Selon un article de BleepingComputer, des acteurs malveillants utilisent des services de redirection de liens provenant de grandes entreprises technologiques pour dissimuler des liens malveillants menant à des pages de phishing. Ces pages sont conçues pour collecter les identifiants de connexion des utilisateurs de Microsoft 365. Les attaquants exploitent la confiance des utilisateurs envers les services de redirection de liens réputés pour contourner les mécanismes de détection de phishing. En masquant les URL malveillantes derrière des services de redirection légitimes, ils augmentent la probabilité que les victimes cliquent sur les liens sans méfiance. ...

Proofpoint a identifié une campagne de phishing utilisant des applications OAuth de Microsoft falsifiées pour usurper l’identité de diverses entreprises telles que RingCentral, SharePoint, Adobe et DocuSign. Ces campagnes visent à obtenir un accès aux comptes Microsoft 365 en contournant l’authentification multifactorielle (MFA). Les campagnes utilisent des kits de phishing attacker-in-the-middle (AiTM), notamment Tycoon, pour intercepter les identifiants et les jetons de session. Les attaques ont été observées dans des campagnes d’email impliquant plus de 50 applications usurpées et plusieurs kits de phishing. ...