Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Dans le numéro de ce mois-ci : Une campagne de phishing exploite les environnements Azure AD qui n'ont pas d'application MFA, le groupe de ransomware LockBit frappe à plusieurs reprises en Europe, et des chercheurs découvrent un exploit noPac AD en pleine évolution.
Une attaque par hameçonnage exploite la non-application des politiques MFA d'Azure AD
Microsoft a publié des avertissements concernant une nouvelle campagne de phishing en plusieurs phases qui inscrit l'appareil de l'attaquant via Azure Active Directory sur les réseaux d'entreprise, en exploitant les cas où le MFA n'est pas appliqué. Après avoir réussi à enregistrer l'appareil, l'attaquant peut voler des informations d'identification qu'il utilisera pour pénétrer plus largement dans l'organisation cible.
Le groupe de ransomware LockBit frappe les entreprises européennes et le ministère français de la justice
Près d'une douzaine d'entreprises ainsi que le ministère français de la justice ont été victimes d'une attaque de ransomware par le groupe LockBit ransomware-as-a-service (RaaS), qui utilise une méthode de déploiement de logiciels malveillants qui automatise la livraison aux clients Active Directory par le biais d'objets de stratégie de groupe (GPO).
Des chercheurs découvrent un exploit noPac Active Directory qui peut compromettre les DC en quelques secondes
Un programme d'exploitation appelé noPac, qui combine deux failles de Microsoft Active Directory, peut conduire à une escalade des privilèges et à la compromission d'un contrôleur de domaine en quelques secondes. L'exploit permet d'élever les privilèges d'un utilisateur normal du domaine au rang d'administrateur du domaine.
Plus de ressources
- Rapport de l'EMA : Les vulnérabilités inconnues deviennent la principale préoccupation en matière de sécurité Active Directory | Semperis
- La délégation sans contrainte dans Active Directory laisse des failles de sécurité | Semperis
- 3 étapes pour atténuer deux failles de sécurité récentes d'escalade des privilèges du service de domaine Active Directory | Semperis