Chris Roberts

La semaine dernière, on a appris qu'un adversaire sophistiqué avait pénétré le réseau de FireEye et volé les outils d'évaluation de l'équipe rouge de l'entreprise.L'attaque serait liée à un assaut plus large de la chaîne d'approvisionnement.attaque de la chaîne d'approvisionnementqui a frappé des organisations gouvernementales, de conseil, de technologie et de télécommunication en Amérique du Nord, en Europe, en Asie et au Moyen-Orient.

Pour avoir une idée de ce dont cet ensemble d'outils volés est capable, vous pouvez consulter laliste prioritaire des CVE que FireEye recommande aux organisations de traiter immédiatement.-en substance, la liste des vulnérabilités connues dont FireEye (et désormais tout adversaire disposant de ses outils) peut facilementtirer parti.D'après cette liste, tout est menacé, de Citrix à Terminal Services, en passant par Microsoft Exchange, les terminaux Windows et Microsoft Outlook. La vulnérabilité de NETLOGON, qui entraîne une escalade des privilèges dans Microsoft Active Directory et donne à l'attaquant un accès d'administrateur de domaine, estparticulièrement alarmanteet figure en tête de la liste des priorités. Si un pirate utilise cette vulnérabilité particulière, étant donné la nature de l'Active Directory, les privilèges obtenus pourraient faciliter l'accès à n'importe quel élément de votre réseau.

Selon les rapports, l'adversaire a compromis FireEye parmi d'autres cibles telles que le Trésor américain et le Département du commerce, avec des "chevaux de Troie".trojanisé"pour SolarWinds, un fournisseur de technologie qui aide le gouvernement fédéral et les entreprises du Fortune 500 à surveiller la santé de leurs réseaux informatiques. Ces mises à jour diffusaient des logiciels malveillants que FireEye a baptisés SUNBURST. Cette dernière attaque de la chaîne d'approvisionnement a ébranlé la communauté informatique, à juste titre si l'on considère l'importance de la clientèle de SolarWinds.Dans les documents de la SEC déposés le 14 décembre, SolarWinds a déclaréSolarWinds a déclaréque 18 000 clientsont installé la mise à jour contenant des logiciels malveillants.L'histoire se poursuit et l'ampleur des dégâts reste inconnue.

Lors d'une interview accordée àAl Jazeerale matin même, Richard Stiennon, analyste en chef chez IT-Harvest, a comparé l'attaque de la chaîne d'approvisionnement à NotPetya, qui s'est propagée de la même manière en se déguisant en une mise à jour logicielle légitime.NotPetya est sans conteste la cyberattaque la plus destructrice à ce jour.10 milliards de dollars de dommages totauxen 2017, selon des responsables de la Maison Blanche. À l'instar de nombreuses entreprises de premier plan touchées par NotPetya, la plus grande entreprise de transport maritime au monde, Maersk,a passé plus d'une semaineà récupérer manuellement son Active Directory.


 

 

Active Directory dans la ligne de mire des attaquants

Tout d'abord, l'industrie s'accorde à dire que FireEye a très bien réagi à l'incident en faisant preuve d'une grande transparence au sujet des outils volés de la Red Team.Red Teamqui contiennent des scripts personnalisés, des outils de piratage accessibles au public et des ensembles d'outils développés sur mesure.

Selon FireEye, les outils ne contiennent pas d'exploits de type "zero-day", de sorte que chaque CVE mentionné dispose de correctifs. Mais cela ne garantit pas que tous les systèmes, applications et plateformes concernés par la liste soient mis à jour. Prenez note de la liste et assurez-vous que votre environnement est à jour.

Il y a quelques leçons à tirer de cette histoire :

1. Les cyberattaques exploitent de plus en plus les faiblesses de la chaîne d'approvisionnement comme méthode efficace de distribution de logiciels malveillants à grande échelle.

2. Les malfaiteurs ne se contentent plus de mener des campagnes d'intrusion de type "spray and pray" et commencent à devenir extrêmement ciblés, en s'attaquant aux bons éléments et en tirant parti de toute propriété intellectuelle (dans ce cas, les outils de piratage interne) pour prendre l'avantage.

3. Si une organisation comme FireEye, qui se consacre exclusivement à la cybersécurité, n'est pas totalement à l'abri des attaques, votre organisation ne l'est pas non plus.

4. Des outils automatisés sophistiqués peuvent facilement tomber entre les mains d'un attaquant novice, ce qui en fait un adversaire tout aussi dangereux qu'une personne ayant des années d'expérience au sein d'une équipe rouge.

5. Windows et Active Directory sont des cibles privilégiées des cyberattaques modernes. La nature centralisée de l'accès aux comptes d'utilisateurs dotés de privilèges élevés fait d'Active Directory la cible idéale des cyberattaques. C'est pourquoi les organisations doivent garder un œil sur les modifications apportées à Active Directory, voire mettre en place des mesures pour surveiller en permanence les indicateurs d'exposition, empêcher les modifications qui permettraient d'étendre l'accès à d'autres parties de l'environnement, et être prêtes à se remettre d'un ransomware ou d'une autre attaque visant l'intégrité des données.  

Bien que l'attaque de FireEye ne représente pas la publication d'outils ou d'exploits inédits, elle souligne l'importance de maintenir votre environnement protégé contre les vulnérabilités connues et le rôle critique que joue Active Directory dans les cyberattaques d'aujourd'hui.En tant que gardien des applications et des données critiques, Active Directory est devenu une cible privilégiée des attaques généralisées qui ont paralysé les entreprises ces dernières années.En comprenant ce sur quoi les malfaiteurs se concentrent, vous devriez chercher à modifier votre stratégie de sécurité pour renforcer votre position de protection autour des parties de l'environnement qui sont précieuses pour les attaquants.

Compte tenu de l'ampleur de l'attaque de la chaîne d'approvisionnement contre SolarWinds et des violations ultérieures d'agences gouvernementales et d'entreprises de premier plan, nous verrons probablement d'autres victimes faire des révélations dans les jours à venir.Si vous avez des questions sur la sécurisation de votre Active Directory contre la liste de vulnérabilités publiée par FireEye ou contre toute attaque en cours, n'hésitez pas àcontacterles gens de Semperis.