Microsoft 365 : Que faire en cas d’un compte compromis ?

Récemment, un utilisateur d’un client sous Microsoft 365 a cliqué naïvement sur un lien contenu dans un courriel qui était bien évidemment, de l’hameçonnage. Le mail provenait d’un attaquant se faisant passer pour un responsable de l’entreprise, et incitait à ouvrir un document partagé sur Microsoft 365.

J’ai fait une capture d’une écran (en grand format ici) de la page en question, et c’est vrai que à part le problème d’encodage de l’apostrophe sur la ligne « Can’t access your account? » la page est parfaite… Bien sur, l’adresse n’a rien à voir avec les domaines Microsoft, mais les utilisateurs regardent souvent seulement si le site possède, je cite: « Le petit cadenas vert ».

Y’a encore du boulot sur la sensibilisation !

Bref, revenons à ce qui nous intéresse ici.

Dans le cas où l’utilisateur se rend compte de sa bêtise, il convient de s’assurer que le compte n’ai pas été compromis. J’entends par là:

  • Possibles délégations de boîte e-mail
  • Possibles règles de transfert vers des e-mails
  • Et évidemment, possible changement du mot de passe du compte

Heureusement pour nous, l’équipe de dev’ de Microsoft nous a concocté un super script PowerShell permettant de :

  • Réinitialiser le mot de passe (ce qui a pour effet de tuer toute session ouverte)
  • Supprimer les délégation de boîte e-mail
  • Supprimer les règles de transfert d’e-mails vers des domaines externes
  • Supprimer les propriétés de transfert d’e-mail global sur la boîte e-mail
  • Activer le Multi Facteur d’Authentification sur le compte de l’utilisateur
  • Fixe le critère de complexité du mot de passe du compte à « Strong Password »
  • Active un audit de la boîte e-mail
  • Génère un journal d’audit pour l’administrateur

Pratique si le temps presse !

Le script est dispo ici : github.com/OfficeDev/O365-InvestigationTooling/blob/master/RemediateBreachedAccount.ps1

Avant toute chose, vous aurez besoin du module PowerShell ‘MSOnline’ destiné aux Active Directory Azure.

Deux options s’offrent à vous :

  • Soit vous l’installez directement via un package
  • Soit vous passez par le PowerShell (le plus simple selon moi)

Dans une ligne de commande PowerShell en administrateur :

Install-Module MSOnline

Répondez « O » afin de valider l’installation.

Une fois le script téléchargé, n’oubliez pas d’autoriser l’exécution de script PowerShell sur votre machine si vous ne l’avez pas déjà fait. Pour vérifier :

Get-ExecutionPolicy

Si vous êtes en Restricted, tapez :

Set-ExecutionPolicy Unrestricted

Répondez « O » pour valider le changement.

Exécuter le script en mettant en paramètre le compte concerné (vous aurez éventuellement un avertissement de sécurité sur l’exécution du script) :

.\RemediateBreachedAccount.ps1 [email protected]

Les identifiants de l’administrateur de la console Office365 vous sont demandés.

Personnellement, je ne vois pas l’intérêt d’activer l’authentification multi-facteur systématiquement, vous pouvez désactiver la fonction « Enable-MFA » dans le script si vous voulez en commentant  la ligne 183 dans le script :

Reset-Password $upn
Enable-MailboxAuditing $upn
Remove-MailboxDelegates $upn
Disable-MailforwardingRulesToExternalDomains $upn
Remove-MailboxForwarding $upn
#Enable-MFA $upn
Get-AuditLog $upn

Donc à garder sous le coude, script très pratique pour ce genre de cas. Nous verrons dans un autre article d’autres scripts utiles dispos sur le repo GitHub des dev’s d’Office.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *