Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met l'accent sur les cyberattaques liées à l'identité, notamment sur la violation du système ferroviaire iranien par MeteorExpress, sur plusieurs vulnérabilités de Microsoft, dont PetitPotam et SeriousSam, et sur une nouvelle violation de type "zero-day" du logiciel SolarWinds.
L'attaque par balayage de MeteorExpress a utilisé Active Directory pour compromettre le système ferroviaire iranien
Une attaque de type "wiper" sur le système ferroviaire iranien a utilisé la stratégie de groupe Active Directory pour propager des logiciels malveillants sur le réseau, qui ont crypté des fichiers et supprimé les sauvegardes VSS (Volume Shadow Copy Service), ce qui a compliqué la récupération des données.
Microsoft corrige plusieurs vulnérabilités liées à l'identité
Dans une série d'avertissements, de correctifs et de solutions de contournement, Microsoft a remédié à une série de vulnérabilités liées à l'identité dans ses logiciels, y compris les attaques PetitPotam contre les contrôleurs de domaine Windows, une vulnérabilité critique d'exécution de code PowerShell 7, et l'attaque SeriousSam qui permet à n'importe qui de lire le registre dans Windows 10. L'entreprise a également ajouté la détection de PrintNightmare à Microsoft Defender for Identity, et a ajouté la possibilité, dans Microsoft Defender for security operations teams, de verrouiller le compte Active Directory d'un utilisateur compromis.
La CISA demande aux agences de corriger la vulnérabilité de Windows Print Spooler
L'agence pour la cybersécurité et la sécurité des infrastructures (CISA) du ministère américain de la sécurité intérieure a demandé aux agences de l'exécutif d'appliquer immédiatement le correctif hors bande publié par Microsoft le 7 juillet pour remédier à la vulnérabilité de Windows Print Spooler, surnommée PrintNightmare.
Des attaquants ont utilisé une faille de type "zero-day" pour pénétrer à nouveau dans SolarWinds
SolarWinds a signalé que des acteurs menaçants ont utilisé une faille de type "zero-day" dans ses logiciels Serv-U Managed File Transfer et Serv-U Secure FTP pour mener des attaques ciblées qui semblent ne pas être liées à l'attaque de grande ampleur contre son logiciel Orion, découverte fin 2020.
REvil lance une attaque de grande envergure contre la chaîne d'approvisionnement via Kaseya
Le groupe de ransomware REvil a utilisé cette vulnérabilité de type "zero-day" pour diffuser des logiciels malveillants par le biais d'une fausse mise à jour automatisée de la solution VSA de Kaseya, que les fournisseurs de services gérés (MSP) des États-Unis et du Royaume-Uni utilisent pour gérer les systèmes de leurs clients.
Les autorités orchestrent le démantèlement d'un serveur DoubleVPN utilisé par des cybercriminels
Sous la direction de la police nationale néerlandaise, un consortium d'autorités des États-Unis, d'Europe et du Canada a saisi les domaines web et l'infrastructure de serveurs de DoubleVPN, un VPN utilisé par les cybercriminels pour masquer leur localisation et leur identité.
AvosLocker utilise les vulnérabilités de DC pour cibler les victimes
Un nouveau groupe de ransomware, AvosLocker, cible les contrôleurs de domaine vulnérables pour s'introduire dans les systèmes d'information et diffuser des logiciels malveillants à ses victimes, dont la ville de Geneva dans l'Ohio.
Plus de ressources
Vous souhaitez renforcer les défenses de votre Active Directory contre les cyberattaques ? Consultez nos dernières ressources.