Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en évidence une nouvelle vulnérabilité Windows de type "zero-day" qui peut donner à des acteurs malveillants des privilèges d'administrateur, une attaque contre un hôpital de l'Ohio et de nouvelles preuves que les vulnérabilités de ProxyShell peuvent conduire à des compromissions à l'échelle d'un domaine.
Une nouvelle vulnérabilité de Windows permet d'obtenir des privilèges d'administrateur
Un chercheur en sécurité a découvert une nouvelle faille d'élévation de privilèges locale zero-day de Windows qui accorde des privilèges d'administrateur à Windows 10, Windows 11 et Windows Server. Des acteurs malveillants disposant d'un accès limité à un appareil compromis peuvent utiliser cette vulnérabilité pour élever leurs privilèges et se déplacer latéralement dans le réseau d'une organisation.
Un hôpital de l'Ohio est la dernière victime d'une série d'attaques par ransomware
Le Southern Ohio Medical Center a été victime d'une attaque par ransomware qui a perturbé les soins aux patients et compromis leurs données, devenant ainsi le dernier d'une série d'incidents visant les prestataires de soins de santé au cours des dernières semaines. Le Johnson Memorial Health lutte toujours pour se remettre d'une attaque attribuée au groupe de ransomware Hive, qui utilise un logiciel d'administration à distance pour infiltrer les systèmes et établir une persistance, puis déploie des outils tels qu'ADRecon pour cartographier l'environnement Active Directory.
Il est de plus en plus évident que les vulnérabilités de ProxyShell peuvent conduire à des attaques à l'échelle d'un domaine.
Les vulnérabilités non corrigées d'Exchange Server ProxyShell révélées en juillet 2021 peuvent permettre une élévation des privilèges et l'exécution de codes à distance. Selon le rapport DBIR, un client Exchange Server non corrigé a subi une attaque par ransomware qui a exploité les vulnérabilités non corrigées et a conduit à une compromission de l'ensemble du domaine.
Plus de ressources
- Comment se défendre contre les attaques de type "Golden Ticket" sur Active Directory | Semperis
- Pourquoi 86% des entreprises augmentent leurs investissements dans la sécurité de l'Active Directory | Semperis
- Comprendre les risques des paramètres de compatibilité pré-Windows 2000 dans Windows 2022 | Semperis