Microsoft Graph API

Selon Unit 42 (Palo Alto Networks), des groupes menaçants détournent l’outil open source AzureHound afin d’énumérer des ressources Azure et de cartographier des chemins d’escalade de privilèges, en s’appuyant sur les APIs Microsoft Graph et Azure REST, sans présence préalable dans l’environnement victime. 🔎 Capacités et usage malveillant: AzureHound effectue la découverte via Microsoft Graph (graph.microsoft.com) et l’Azure REST API (management.azure.com) en utilisant des identifiants ou des jetons dérobés. Des acteurs comme Curious Serpens, Void Blizzard et Storm-0501 l’exploitent pour collecter des données sur les identités, les permissions, le stockage et l’infrastructure cloud. ...

Source: Lab52 — Dans une analyse technique, Lab52 décrit une campagne DreamJobs attribuée au groupe Lazarus visant le secteur UAV, mettant en lumière des chargeurs modulaires (« DreamLoaders ») déployés via DLL sideloading, applications trojanisées et communications C2 appuyées sur des services Microsoft. • Le rapport identifie trois variantes de loaders et une forte réutilisation de code entre artefacts (≈85% de similarité). Les attaquants cherchent notamment à obtenir des identifiants d’administrateurs par des moyens trompeurs, en combinant évasion avancée, charges chiffrées et services cloud Microsoft ☁️. ...

Selon Resecurity (blog), des chercheurs ont découvert lors de tests d’intrusion des identifiants d’applications Azure AD (ClientId et ClientSecret) exposés dans des fichiers appsettings.json accessibles publiquement, une vulnérabilité de haute sévérité permettant une authentification directe aux endpoints OAuth 2.0 de Microsoft. ⚠️ Sur le plan technique, l’attaque exploite le flux OAuth2 « Client Credentials » via une simple requête POST vers l’endpoint de jeton d’Azure avec les secrets divulgués, pour obtenir un Bearer token. Les attaquants enchaînent ensuite avec des requêtes GET authentifiées sur des endpoints Microsoft Graph — notamment /v1.0/users, /v1.0/oauth2PermissionGrants et /v1.0/groups — afin d’énumérer utilisateurs, permissions et structure organisationnelle. 🔑 ...