Cibler les comptes d’utilisateurs SaaS représentait l’un des problèmes les plus épineux pour les organisations, d’ailleurs un récent rapport montre que les cybercriminels utilisent les services Office 365 intégrés dans leurs attaques.

D’après l’étude de la société de détection et de réponse réseau Vectra, qui s’est basée sur quatre millions de comptes Office 365 surveillés, 71% des individus interrogés avaient remarqué des comportements suspects d’Office 365 Power Automate. En outre, 56% des clients ont remarqué des comportements suspects de découverte électronique d’Office 365 et 96% ont constaté des tentatives de mouvement latéral.

Malgré l’adoption continue de mesures de sécurité dédiées à la protection des comptes d’utilisateurs, comme par exemple l’authentification multifactorielle, 40% d’entreprise souffre encore de violations d’Office 365. Les procédures employées par les pirates ciblant Office 365 incluent la recherche dans les e-mails, les historiques de discussion et les fichiers dans le but est de détecter des mots de passe ou des données intéressantes, mais aussi la configuration de règles de transfert, afin de pouvoir par la suite accéder à un flux régulier d’e-mails sans nécessiter une reconnexion et l’utilisation de la communication de confiance canal aux employés, clients ou partenaires de l’ingénierie sociale.

La fonctionnalité Power Automate – préalablement nommée Microsoft Flow – risque d’être exploitée afin de se connecter via HTTP à un serveur de commande et de contrôle pour l’envoi de données, la synchronisation automatique des fichiers OneDrive vers un Google Drive appartenant à un pirate à chaque mise à jour de modification.