En décembre, la divulgation de l’attaque de la chaîne d’approvisionnement contre SolarWinds a envoyé des ondes de choc dans les agences fédérales responsables de la sécurité des actifs informationnels américains L’effet d’entraînement a également frappé la communauté informatique Ces ondulations se sont poursuivies jusqu’en 2021, car ce qui était déjà considéré comme une attaque sophistiquée contre la chaîne d’approvisionnement informatique a pris des rebondissements supplémentaires. De nouvelles preuves indiquent que les attaquants utilisent des méthodes bien établies pour obtenir un accès initial à l’ancienne, via Active Directory (AD) sur site

La compromission de l’environnement de construction SolarWinds et l’envoi de versions de mise à jour de Troie pour la plate-forme Orion est la tactique la plus connue qui aurait été utilisée par le groupe de menaces derrière les attaques. Selon la Cybersecurity and Infrastructure Security Agency (CISA), l’acteur de la menace a été observé en train de compromettre ou de contourner les solutions d’identité fédérée et de tirer parti de jetons d’authentification falsifiés pour se déplacer latéralement vers les environnements cloud Microsoft. À partir de là, l’acteur de la menace a utilisé un accès privilégié dans les environnements cloud des victimes pour établir des mécanismes de persistance pour les connexions basées sur l’API (Application Programming Interface) qui étaient difficiles à détecter

Mais dans certains cas, au lieu d’utiliser le compromis SolarWinds Orion hautement sophistiqué, les attaquants ont utilisé des méthodes éprouvées pour compromettre leurs victimes: deviner le mot de passe, pulvériser le mot de passe et exploiter les informations d’identification administratives ou de service mal sécurisées. Ils ont ensuite utilisé des outils et techniques Windows natifs, tels que Windows Management Instrumentation (WMI), pour énumérer la capacité de signature de certificat de Microsoft Active Directory Federated Services (AD FS) et forger des jetons d’authentification.

La campagne d’attaque SolarWinds sert d’avertissement que les ressources d’identité sur site seront de plus en plus utilisées comme tremplin pour accéder aux environnements cloud Les défenseurs ont tendance à se concentrer sur les techniques les plus sophistiquées, mais généralement, les attaquants recherchent simplement le moyen le plus simple Ce type de mouvement vertical utilisait des chemins d’attaque trop familiers Même dans les incidents de sécurité les plus sophistiqués, des mots de passe faibles et des informations d’identification administratives non sécurisées sont régulièrement exploités Dans le cas du piratage SolarWinds, une fois à l’intérieur, les attaquants ont pu exécuter la chaîne de destruction d’attaque classique: élévation des privilèges locaux, reconnaissance, mouvement horizontal et escalade.

Toutes ces étapes auraient pu être interrompues par l’application des meilleures pratiques de sécurité Alors que les retombées de cette campagne d’attaque en sont venues à symboliser l’étendue du paysage des menaces auxquelles les agences gouvernementales et les entreprises mondiales sont confrontées, elles rappellent aussi clairement l’importance de pratiquer une bonne hygiène de sécurité. Des stratégies de mot de passe intelligentes à la surveillance AD, les organisations doivent élever la barre d’entrée pour les acteurs de la menace Un article de blog Microsoft recommande de prendre les mesures suivantes pour renforcer Azure AD contre les attaques, que certains ont surnommées «Solorigate”

CISA a également mis à jour ses directives sur «Atténuer le compromis SolarWinds Orion Code», répertoriant les actions que les organisations peuvent prendre pour détecter d’éventuels compromis. Ces précautions incluent l’utilisation de l’authentification unique SAML pour rechercher les connexions aux fournisseurs de services qui n’ont pas d’événements d’authentification correspondants dans AD FS et les contrôleurs de domaine et l’examen des événements d’exportation de certificat dans AD FS

Si un attaquant peut contourner les contrôles d’authentification et obtenir un accès administrateur à AD, il lui faudra une visibilité totale de l’environnement AD – à la fois sur site et dans le cloud – pour les détecter et y répondre Dans la réalité impitoyable des acteurs de la menace parrainés par l’État et des groupes de menaces persistants avancés, la surveillance continue de la DA pour les comportements non autorisés est un élément clé de la prévention, de la détection et de l’arrêt des activités malveillantes sur ses traces. D’autres moyens de réduire les risques pour le service incluent l’analyse régulière d’AD pour les configurations faibles que les attaquants peuvent exploiter, l’examen des autorisations de compte, l’utilisation de mots de passe complexes, l’application du principe du moindre privilège à l’octroi de droits dans AD et le déploiement de mises à jour de sécurité dès que possible

Les organisations doivent également envisager d’utiliser les propres fonctionnalités de sécurité d’Azure Par exemple, la plupart des organisations ciblées par les attaques ont probablement de grandes architectures hybrides Ils utilisent Microsoft 365 et, selon toute vraisemblance, une version premium d’Azure AD Cette version d’Azure AD est fournie avec Azure AD Password Protection, un service hybride qui protège l’AD local d’une organisation contre les mots de passe courants Si le service de protection par mot de passe était utilisé, les organisations victimes auraient été beaucoup moins sensibles au bourrage de mots de passe et aux attaques par pulvérisation de mots de passe.

Tant que la pulvérisation de mots de passe, les devinettes et d’autres approches moins techniques fonctionnent, elles continueront d’être des éléments communs de l’arsenal des attaquants Mais avec une approche en couches de la sécurité basée sur les meilleures pratiques, même les attaques les plus complexes peuvent être atténuées grâce à des contrôles de sécurité efficaces

Active Directory, SolarWinds, sécurité informatique

News – GB – SolarWinds Attack: Preuve qu’Active Directory sur site reste un vecteur d’accès initial efficace
Titre associé :
SolarWinds Attack : Preuve que Active Directory sur site reste un vecteur d’accès initial efficace
Comment auditer les modifications de mot de passe dans Active Directory

Source: https://www.infosecurity-magazine.com/opinions/solarwinds-on-premises-active/

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/