OAuth

Selon BleepingComputer, Palo Alto Networks a confirmé avoir été victime d’une fuite de données via des tokens OAuth compromis provenant de l’incident Salesloft Drift, permettant à des attaquants d’accéder à son instance Salesforce. L’entreprise précise que l’impact est limité à son CRM Salesforce et n’affecte aucun produit, système ou service. L’attaque, suivie par Google Threat Intelligence sous le nom UNC6395, a exploité des tokens OAuth volés pour réaliser une exfiltration de masse de données depuis les objets Salesforce Account, Contact, Case et Opportunity. Les acteurs ont utilisé des outils automatisés (user-agents observés: python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, Salesforce-Multi-Org-Fetcher/1.0, Salesforce-CLI/1.0), ont supprimé des logs/queries pour masquer leurs traces et ont recouru à Tor pour obfusquer leur origine. ...

SecurityAffairs rapporte que Zscaler a été impacté par la campagne de vol de jetons OAuth liée à Salesloft Drift, utilisée pour accéder à des instances Salesforce, sans compromission de ses produits ou de son infrastructure. • L’éditeur indique que des acteurs non autorisés ont obtenu des identifiants Drift permettant une visibilité limitée sur certaines données Salesforce de Zscaler. Les informations exposées comprennent des coordonnées professionnelles (noms, emails, titres, numéros, régions), des informations commerciales et de licences Zscaler, ainsi que du contenu de certains tickets de support. Zscaler a révoqué l’accès Drift à Salesforce, tourné les jetons API, lancé une enquête conjointe avec Salesforce, ajouté des garde-fous, revérifié ses tiers et renforcé l’authentification du support client. Aucune preuve d’abus des données n’a été trouvée à ce stade. ...

BleepingComputer rapporte que Google indique que la brèche touchant Salesloft/Drift est plus importante qu’estimé initialement. • Nature de l’attaque: des jetons OAuth volés ont été utilisés par des attaquants. • Impact: ces jetons ont permis un accès à des comptes e‑mail Google Workspace, en plus de l’atteinte déjà connue aux données Salesforce. ⚠️ • Constat: Google met en garde sur l’ampleur réelle de l’incident, qui dépasse l’accès aux seules données Salesforce et inclut désormais la messagerie Google Workspace. ...

Selon Arctic Wolf, Microsoft a divulgué la vulnérabilité CVE-2025-53786 touchant les serveurs Exchange on-premises en environnements hybrides, tandis que la CISA a émis la directive d’urgence 25-02 exigeant un correctif d’ici le 11 août. • Gravité et impact: La faille permet à des acteurs déjà authentifiés et disposant d’un accès administrateur aux serveurs Exchange on-premises d’obtenir un accès étendu à Exchange Online et SharePoint, en contournant des contrôles de sécurité et en ne laissant que peu de traces d’audit. Les jetons obtenus peuvent rester valides jusqu’à 24 heures. 🚨 ...

Proofpoint a identifié une campagne de phishing utilisant des applications OAuth de Microsoft falsifiées pour usurper l’identité de diverses entreprises telles que RingCentral, SharePoint, Adobe et DocuSign. Ces campagnes visent à obtenir un accès aux comptes Microsoft 365 en contournant l’authentification multifactorielle (MFA). Les campagnes utilisent des kits de phishing attacker-in-the-middle (AiTM), notamment Tycoon, pour intercepter les identifiants et les jetons de session. Les attaques ont été observées dans des campagnes d’email impliquant plus de 50 applications usurpées et plusieurs kits de phishing. ...

L’analyse de Huntress met en lumière une attaque sophistiquée où des acteurs malveillants ont utilisé des applications OAuth légitimes, telles que SigParser, pour maintenir une persistance dans les environnements Microsoft 365. Cette étude de cas révèle comment les attaquants ont employé des techniques AitM (Adversary-in-the-Middle), des proxies de datacenter, et des règles de boîte de réception pour mener des compromissions de messagerie professionnelle tout en utilisant SigParser pour collecter des informations de contact afin d’élargir leur ciblage. ...