• Votre panier est vide.

  • LOGIN

Les pirates informatiques de SolarWinds ont utilisé des tactiques que d’autres groupes vont copier


Certains articles de veille peuvent faire l'objet de traduction automatique.


L’un des les aspects les plus effrayants de La récente vague de piratage informatique en Russie-qui a permis d’atteindre de nombreuses agences gouvernementales américaines parmi d’autres cibles- a été l’utilisation réussie d’une « attaque de la chaîne d’approvisionnement » pour gagner des dizaines de milliers de cibles potentielles à partir d’un seul compromis de la société de services informatiques SolarWinds. Mais ce n’était pas la seule caractéristique frappante de l’attaque. Après cette première prise de pied, les attaquants se sont enfoncés plus profondément dans les réseaux de leurs victimes avec des stratégies simples et élégantes. Aujourd’hui, les chercheurs se préparent à une recrudescence de ces techniques de la part d’autres agresseurs.

Les pirates de SolarWinds ont utilisé leur accès dans de nombreux cas pour infiltrer les services de messagerie Microsoft 365 et l’infrastructure Microsoft Azure Cloud de leurs victimes – deux trésors de données potentiellement sensibles et précieuses. Le défi de la prévention de ce type d’intrusion dans Microsoft 365 et Azure est qu’elle ne dépend pas de vulnérabilités spécifiques qui peuvent simplement être corrigées. Les pirates utilisent plutôt une attaque initiale qui les met en position de manipuler Microsoft 365 et Azure d’une manière qui semble légitime. Dans ce cas, avec beaucoup d’effet.

« Il y a maintenant d’autres acteurs qui vont évidemment adopter ces techniques, parce qu’ils s’attaquent à ce qui fonctionne », dit Matthew McWhirt, un réalisateur de Mandiant Fireeye, premièrement identifiée la campagne russe au début du mois de décembre.

Lors du récent barrage, les pirates ont compromis un produit SolarWinds, Orion, et ont distribué des mises à jour corrompues qui ont permis aux attaquants de prendre pied sur le réseau de chaque client de SolarWinds qui a téléchargé le patch malveillant. À partir de là, les attaquants ont pu utiliser leurs nouveaux privilèges sur les systèmes victimes pour prendre le contrôle des certificats et des clés utilisés pour générer des jetons d’authentification système, appelés jetons SAML, pour Microsoft 365 et Azure. Les organisations gèrent cette infrastructure d’authentification localement, plutôt que dans le nuage, grâce à un composant Microsoft appelé Active Directory Federation Services.

Une fois qu’un attaquant dispose des privilèges réseau lui permettant de manipuler ce schéma d’authentification, il peut générer des jetons légitimes pour accéder à n’importe quel compte Microsoft 365 et Azure de l’organisation, sans avoir besoin de mots de passe ou d’une authentification multifactorielle. À partir de là, les attaquants peuvent également créer de nouveaux comptes et s’accorder les privilèges élevés nécessaires pour se déplacer librement sans déclencher de drapeaux rouges.

« Nous pensons qu’il est essentiel que les gouvernements et le secteur privé soient de plus en plus transparents sur les activités des États nations afin que nous puissions tous poursuivre le dialogue mondial sur la protection de l’internet », a déclaré Microsoft dans un communiqué publié en décembre. article de blog qui a relié ces techniques aux pirates de SolarWinds. « Nous espérons également que la publication de ces informations contribuera à sensibiliser les organisations et les particuliers aux mesures qu’ils peuvent prendre pour se protéger ».

L’Agence nationale de sécurité a également détaillé les techniques dans un rapport de décembre.

« Il est essentiel, lorsque l’on utilise des produits qui procèdent à l’authentification, que le serveur et tous les services qui en dépendent soient correctement configurés pour un fonctionnement et une intégration sécurisés », a déclaré la NSA a écrit à. « Sinon, des jetons SAML pourraient être contrefaits, donnant accès à de nombreuses ressources ».

Depuis, Microsoft a développé ses outils de surveillance dans Azure Sentinel. Et Mandiant publie également un outil qui permet aux groupes d’évaluer plus facilement si quelqu’un a fait du « monkeying » avec sa génération de jetons d’authentification pour Azure et Microsoft 365, par exemple en faisant apparaître des informations sur les nouveaux certificats et comptes.

Maintenant que les techniques ont été exposées très publiquement, davantage d’organisations pourraient être à l’affût de ces activités malveillantes. Mais la manipulation des jetons SAML est un risque pour pratiquement tous les utilisateurs du cloud, et pas seulement pour ceux d’Azure, comme certains chercheurs le mettent en garde depuis des années. En 2017, Shaked Reiner, un chercheur de l’entreprise de défense CyberArk, publié des découvertes sur cette technique, baptisée GoldenSAML. Il a même construit une preuve de concept outil que les praticiens de la sécurité pourraient utiliser pour tester si leurs clients sont susceptibles de manipuler les jetons SAML.

Reiner soupçonne que les attaquants n’ont pas utilisé les techniques GoldenSAML plus souvent ces dernières années, simplement parce qu’elles nécessitent un niveau d’accès élevé pour être efficaces. Néanmoins, il affirme qu’il a toujours considéré un déploiement accru comme inévitable, compte tenu de l’efficacité de la technique. Il s’appuie également sur une autre attaque bien connue de Microsoft Active Directory datant de 2014, appelée Ticket d’or.

Voir aussi :

juin 17, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)