In December, la divulgation de l’attaque de la chaîne d’approvisionnement contre SolarWinds a envoyé des ondes de choc dans les agences fédérales responsables de la sécurité des actifs informationnels américains L’effet d’entraînement a également frappé la communauté informatique Ces ondulations se sont poursuivies jusqu’en 2021, car ce qui était déjà considéré comme une attaque sophistiquée contre la chaîne d’approvisionnement informatique a pris des rebondissements supplémentaires. De nouvelles preuves indiquent que les attaquants utilisent des méthodes bien établies pour obtenir un accès initial à l’ancienne, via Active Directory (AD) sur site

La compromission de l’environnement de construction SolarWinds et l’envoi de versions de mise à jour de Troie pour la plate-forme Orion est la tactique la plus connue qui aurait été utilisée par le groupe de menaces derrière les attaques. Selon la Cybersecurity and Infrastructure Security Agency (CISA), l’acteur de la menace a été observé en train de compromettre ou de contourner les solutions d’identité fédérée et de tirer parti de jetons d’authentification falsifiés pour se déplacer latéralement vers les environnements cloud Microsoft. From there, l’acteur de la menace a utilisé un accès privilégié dans les environnements cloud des victimes pour établir des mécanismes de persistance pour les connexions basées sur l’API (Application Programming Interface) qui étaient difficiles à détecter

But in some cases, au lieu d’utiliser le compromis SolarWinds Orion hautement sophistiqué, les attaquants ont utilisé des méthodes éprouvées pour compromettre leurs victimes: deviner le mot de passe, pulvériser le mot de passe et exploiter les informations d’identification administratives ou de service mal sécurisées. Ils ont ensuite utilisé des outils et techniques Windows natifs, tels que Windows Management Instrumentation (WMI), pour énumérer la capacité de signature de certificat de Microsoft Active Directory Federated Services (AD FS) et forger des jetons d’authentification.

La campagne d’attaque SolarWinds sert d’avertissement que les ressources d’identité sur site seront de plus en plus utilisées comme tremplin pour accéder aux environnements cloud Les défenseurs ont tendance à se concentrer sur les techniques les plus sophistiquées, mais généralement, les attaquants recherchent simplement le moyen le plus simple Ce type de mouvement vertical utilisait des chemins d’attaque trop familiers Même dans les incidents de sécurité les plus sophistiqués, des mots de passe faibles et des informations d’identification administratives non sécurisées sont régulièrement exploités Dans le cas du piratage SolarWinds, une fois à l’intérieur, les attaquants ont pu exécuter la chaîne de destruction d’attaque classique: élévation des privilèges locaux, reconnaissance, mouvement horizontal et escalade.

Toutes ces étapes auraient pu être interrompues par l’application des meilleures pratiques de sécurité Alors que les retombées de cette campagne d’attaque en sont venues à symboliser l’étendue du paysage des menaces auxquelles les agences gouvernementales et les entreprises mondiales sont confrontées, elles rappellent aussi clairement l’importance de pratiquer une bonne hygiène de sécurité. Des stratégies de mot de passe intelligentes à la surveillance AD, les organisations doivent élever la barre d’entrée pour les acteurs de la menace Un article de blog Microsoft recommande de prendre les mesures suivantes pour renforcer Azure AD contre les attaques, que certains ont surnommées «Solorigate

CISA a également mis à jour ses directives sur «Atténuer le compromis SolarWinds Orion Code», répertoriant les actions que les organisations peuvent prendre pour détecter d’éventuels compromis. Ces précautions incluent l’utilisation de l’authentification unique SAML pour rechercher les connexions aux fournisseurs de services qui n’ont pas d’événements d’authentification correspondants dans AD FS et les contrôleurs de domaine et l’examen des événements d’exportation de certificat dans AD FS

Si un attaquant peut contourner les contrôles d’authentification et obtenir un accès administrateur à AD, il lui faudra une visibilité totale de l’environnement ADà la fois sur site et dans le cloudpour les détecter et y répondre Dans la réalité impitoyable des acteurs de la menace parrainés par l’État et des groupes de menaces persistants avancés, la surveillance continue de la DA pour les comportements non autorisés est un élément clé de la prévention, de la détection et de l’arrêt des activités malveillantes sur ses traces. D’autres moyens de réduire les risques pour le service incluent l’analyse régulière d’AD pour les configurations faibles que les attaquants peuvent exploiter, l’examen des autorisations de compte, l’utilisation de mots de passe complexes, l’application du principe du moindre privilège à l’octroi de droits dans AD et le déploiement de mises à jour de sécurité dès que possible

Les organisations doivent également envisager d’utiliser les propres fonctionnalités de sécurité d’Azure Par exemple, la plupart des organisations ciblées par les attaques ont probablement de grandes architectures hybrides Ils utilisent Microsoft 365 and, selon toute vraisemblance, une version premium d’Azure AD Cette version d’Azure AD est fournie avec Azure AD Password Protection, un service hybride qui protège l’AD local d’une organisation contre les mots de passe courants Si le service de protection par mot de passe était utilisé, les organisations victimes auraient été beaucoup moins sensibles au bourrage de mots de passe et aux attaques par pulvérisation de mots de passe.

Tant que la pulvérisation de mots de passe, les devinettes et d’autres approches moins techniques fonctionnent, elles continueront d’être des éléments communs de l’arsenal des attaquants Mais avec une approche en couches de la sécurité basée sur les meilleures pratiques, même les attaques les plus complexes peuvent être atténuées grâce à des contrôles de sécurité efficaces

Active Directory, SolarWinds, IT security

News – GB – SolarWinds Attack: Proof that on-site Active Directory remains an effective initial access vector
Associated title :
SolarWinds Attack : Preuve que Active Directory sur site reste un vecteur d’accès initial efficace
Comment auditer les modifications de mot de passe dans Active Directory

Source: https://www.infosecurity-magazine.com/opinions/solarwinds-on-premises-active/

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/