Microsoft 365

Selon BleepingComputer, Microsoft annonce que les applications Microsoft 365 pour Windows bloqueront par défaut l’accès aux fichiers via le protocole d’authentification hérité FPRPC, jugé non sécurisé, à partir de la fin du mois d’août. 🔒 Mesure annoncée : blocage par défaut de l’accès aux fichiers via FPRPC. 🧩 Produits concernés : applications Microsoft 365 pour Windows. 🗓️ Calendrier : déploiement à partir de fin août. 🎯 Motif mis en avant : le protocole FPRPC est considéré comme non sécurisé. Type d’article : mise à jour de produit. Objectif principal : informer du durcissement par défaut contre un protocole d’authentification hérité non sécurisé. ...

Selon bleepingcomputer.com, Microsoft a publié un avis de sécurité concernant une vulnérabilité haute gravité dans les déploiements Exchange Server hybrides qui peut permettre une élévation de privilèges dans Exchange Online, souvent sans traces auditables dans Microsoft 365. Dans les configurations hybrides, les serveurs Exchange on-premises et Exchange Online partagent le même service principal (identité de service) utilisé pour l’authentification. En abusant de cette identité partagée, un acteur ayant le contrôle de l’Exchange on-prem peut forger/manipuler des jetons de confiance ou des appels API acceptés par le cloud comme légitimes. ...

Cet article publié par Guardz analyse une méthodologie d’attaque ciblant SharePoint Online dans les environnements Microsoft 365. L’étude met en lumière comment les attaquants peuvent exploiter l’intégration étendue de SharePoint avec Graph API, Teams, OneDrive, et Power Platform pour obtenir un accès initial, maintenir une persistance, effectuer des mouvements latéraux, et exfiltrer des données. L’analyse technique détaille le cycle de vie complet de l’attaque, incluant des techniques de reconnaissance via Google dorking et l’énumération de Graph API, des méthodes d’accès initial par des malwares hébergés sur SharePoint et l’abus de jetons OAuth, des mécanismes de persistance via des flux Power Automate et des parties web cachées, ainsi que des mouvements latéraux à travers la collaboration sur des documents partagés. ...

Selon un article de BleepingComputer, des acteurs malveillants utilisent des services de redirection de liens provenant de grandes entreprises technologiques pour dissimuler des liens malveillants menant à des pages de phishing. Ces pages sont conçues pour collecter les identifiants de connexion des utilisateurs de Microsoft 365. Les attaquants exploitent la confiance des utilisateurs envers les services de redirection de liens réputés pour contourner les mécanismes de détection de phishing. En masquant les URL malveillantes derrière des services de redirection légitimes, ils augmentent la probabilité que les victimes cliquent sur les liens sans méfiance. ...

Proofpoint a identifié une campagne de phishing utilisant des applications OAuth de Microsoft falsifiées pour usurper l’identité de diverses entreprises telles que RingCentral, SharePoint, Adobe et DocuSign. Ces campagnes visent à obtenir un accès aux comptes Microsoft 365 en contournant l’authentification multifactorielle (MFA). Les campagnes utilisent des kits de phishing attacker-in-the-middle (AiTM), notamment Tycoon, pour intercepter les identifiants et les jetons de session. Les attaques ont été observées dans des campagnes d’email impliquant plus de 50 applications usurpées et plusieurs kits de phishing. ...

Dans un article publié par Modzero, une vulnérabilité critique a été découverte dans l’application Synology Active Backup for Microsoft 365 (ABM) qui permettait l’accès non autorisé à tous les locataires Microsoft des organisations utilisant ce service. Cette faille, identifiée comme CVE-2025-4679, a été signalée à Synology. L’impact de cette vulnérabilité est significatif, car elle pourrait être exploitée par des acteurs malveillants pour obtenir des informations potentiellement sensibles, telles que tous les messages dans les canaux de Microsoft Teams. Cela fait de l’application un cible idéale pour des attaques ultérieures, notamment par abus de crédentiels ou ingénierie sociale. ...

L’équipe Varonis’ MDDR Forensics a découvert une campagne de phishing ciblant plus de 70 organisations en exploitant la fonctionnalité Direct Send de Microsoft 365. Cette fonctionnalité, conçue pour permettre à des appareils internes comme les imprimantes d’envoyer des emails sans authentification, est détournée par des acteurs malveillants pour usurper des utilisateurs internes et envoyer des emails de phishing sans compromettre de comptes. La campagne, qui a débuté en mai 2025, cible principalement des organisations basées aux États-Unis. Les attaquants utilisent PowerShell pour envoyer des emails usurpés via le smart host de Microsoft, rendant ces messages difficiles à détecter par les contrôles de sécurité traditionnels. Les emails semblent provenir d’adresses internes légitimes, ce qui leur permet de contourner les mécanismes de filtrage de Microsoft et d’autres solutions de sécurité tierces. ...

Aim Labs a récemment découvert une vulnérabilité critique appelée ‘EchoLeak’ dans Microsoft 365 (M365) Copilot. Cette faille permet à des attaquants d’exploiter des chaînes d’attaque pour extraire automatiquement des informations sensibles du contexte de M365 Copilot, sans que l’utilisateur en soit conscient. La technique d’exploitation, nommée ‘LLM Scope Violation’, représente une avancée majeure dans la recherche sur les attaques contre les agents d’IA, en exploitant les mécanismes internes des modèles. Cela pourrait avoir des manifestations supplémentaires dans d’autres chatbots et agents basés sur RAG. ...

Le rapport technique de Sekoia.io, publié en juin 2025, met en lumière l’évolution des attaques de phishing de type Adversary-in-the-Middle (AitM). Ces attaques visent principalement les comptes Microsoft 365 et Google, en exploitant des kits de phishing sophistiqués pour contourner l’authentification multi-facteurs (MFA). Les attaques AitM se concentrent sur le vol de cookies de session pour accéder aux comptes des victimes sans nécessiter de nouvelle authentification. Le rapport souligne la prolifération des offres de Phishing-as-a-Service (PhaaS), qui permettent à des cybercriminels, même peu expérimentés, d’accéder à des kits de phishing avancés à moindre coût. ...

L’article de Le Monde Informatique met en lumière une vulnérabilité critique (CVE-2025-3928) affectant Commvault, exploitée par des pirates pour accéder à des secrets d’environnements SaaS, y compris Microsoft 365. La CISA (Cybersecurity and Infrastructure Security Agency) des États-Unis a émis un avertissement concernant l’exploitation de la faille CVE-2025-3928, qui affecte la solution de sauvegarde Metallic Microsoft 365 de Commvault hébergée dans Azure. Cette vulnérabilité a été exploitée par des acteurs malveillants, possiblement soutenus par des États, pour accéder à des secrets de clients. ...