Récemment, un utilisateur d’un client sous Microsoft 365 a cliqué naïvement sur un lien contenu dans un courriel qui était bien évidemment, de l’hameçonnage. Le mail provenait d’un attaquant se faisant passer pour un responsable de l’entreprise, et incitait à ouvrir un document partagé sur Microsoft 365.
J’ai fait une capture d’une écran (en grand format ici) de la page en question, et c’est vrai que à part le problème d’encodage de l’apostrophe sur la ligne « Can’t access your account? » la page est parfaite… Bien sur, l’adresse n’a rien à voir avec les domaines Microsoft, mais les utilisateurs regardent souvent seulement si le site possède, je cite: « Le petit cadenas vert ».
Y’a encore du boulot sur la sensibilisation !
Bref, revenons à ce qui nous intéresse ici.
Dans le cas où l’utilisateur se rend compte de sa bêtise, il convient de s’assurer que le compte n’ai pas été compromis. J’entends par là:
- Possibles délégations de boîte e-mail
- Possibles règles de transfert vers des e-mails
- Et évidemment, possible changement du mot de passe du compte
Heureusement pour nous, l’équipe de dev’ de Microsoft nous a concocté un super script PowerShell permettant de :
- Réinitialiser le mot de passe (ce qui a pour effet de tuer toute session ouverte)
- Supprimer les délégation de boîte e-mail
- Supprimer les règles de transfert d’e-mails vers des domaines externes
- Supprimer les propriétés de transfert d’e-mail global sur la boîte e-mail
- Activer le Multi Facteur d’Authentification sur le compte de l’utilisateur
- Fixe le critère de complexité du mot de passe du compte à « Strong Password »
- Active un audit de la boîte e-mail
- Génère un journal d’audit pour l’administrateur
Pratique si le temps presse !
Le script est dispo ici : github.com/OfficeDev/O365-InvestigationTooling/blob/master/RemediateBreachedAccount.ps1
Avant toute chose, vous aurez besoin du module PowerShell ‘MSOnline’ destiné aux Active Directory Azure.
Deux options s’offrent à vous :
- Soit vous l’installez directement via un package
- Soit vous passez par le PowerShell (le plus simple selon moi)
Dans une ligne de commande PowerShell en administrateur :
Install-Module MSOnline
Répondez « O » afin de valider l’installation.
Une fois le script téléchargé, n’oubliez pas d’autoriser l’exécution de script PowerShell sur votre machine si vous ne l’avez pas déjà fait. Pour vérifier :
Get-ExecutionPolicy
Si vous êtes en Restricted, tapez :
Set-ExecutionPolicy Unrestricted
Répondez « O » pour valider le changement.
Exécuter le script en mettant en paramètre le compte concerné (vous aurez éventuellement un avertissement de sécurité sur l’exécution du script) :
.\RemediateBreachedAccount.ps1 [email protected]
Les identifiants de l’administrateur de la console Office365 vous sont demandés.
Personnellement, je ne vois pas l’intérêt d’activer l’authentification multi-facteur systématiquement, vous pouvez désactiver la fonction « Enable-MFA » dans le script si vous voulez en commentant la ligne 183 dans le script :
Reset-Password $upn Enable-MailboxAuditing $upn Remove-MailboxDelegates $upn Disable-MailforwardingRulesToExternalDomains $upn Remove-MailboxForwarding $upn #Enable-MFA $upn Get-AuditLog $upn
Donc à garder sous le coude, script très pratique pour ce genre de cas. Nous verrons dans un autre article d’autres scripts utiles dispos sur le repo GitHub des dev’s d’Office.