Une approche pratique de l'Active Directory Domain Services, Partie 9 : Contrôle de la réalité AD

Avez-vous examiné certaines des attaques Active Directory (AD) les plus connues dans le monde ?

Comprenez-vous les nuances de ces attaques populaires et pouvez-vous mettre à profit les principes fondamentaux de l'AD que vous avez appris dans les parties précédentes de cette série de blogs ?

Après avoir lu les méthodologies de violation AD et les types d'attaque dans la Partie 8, découvrons certaines des violations de sécurité AD récentes les plus importantes au monde. Les failles de sécurité affectent en fin de compte un ou plusieurs éléments de la triade de la sécurité des données - confidentialité, intégrité et disponibilité des données. Pour réaliser une brèche, les cyberattaquants s'efforcent d'accéder aux utilisateurs, applications et données, qui sont tous contrôlés par les services d'annuaire de l'entreprise. C'est pourquoi l'AD est une cible de choix pour la compromission.

Ces trois exemples récents d'attaques AD dans le monde réel exposent les vulnérabilités auxquelles de nombreuses entreprises sont confrontées dans le monde entier :

• Une cyberattaque de la chaîne d'approvisionnement dans une grande entreprise de technologie de l'information.
• Une violation des données d'un tiers ayant un impact sur une entreprise automobile réputée.
• Une violation de la sécurité dans un groupe hôtelier renommé.

Allons droit au but.

Une cyberattaque de la chaîne d'approvisionnement dans une grande entreprise de technologie de l'information.

De plus en plus, les activités malveillantes dans la chaîne d'approvisionnement informatique d'une entreprise entraînent des répercussions inimaginables pour l'entreprise mère ainsi que pour ses clients. Voici ce qui s'est passé lorsqu'une entreprise informatique de premier plan a été exploitée.

• Les cyberattaquants ont d'abord obtenu un accès non autorisé à des comptes utilisateur sur le réseau de l'entreprise en utilisant un compte utilisateur vulnérable et potentiellement désactivé. Certains rapports suggèrent qu'un compte Microsoft Office 365 déjà compromis a été réutilisé pour accéder au réseau de l'entreprise.
• Après avoir obtenu cet accès initial, les pirates n'ont pas été détectés dans l'environnement AD, mais sont restés vigilants quant à l'ensemble des activités réseau en cours.
• Pendant cette période de "lying low", les pirates ont obtenu des privilèges d'accès élevés aux ressources réseau, notamment aux serveurs et aux logiciels. Ils ont testé leur plan d'attaque en injectant un code malveillant qui accède à diverses applications et les modifie. Ce code malveillant visait le logiciel phare de l'entreprise et a entraîné la livraison de mises à jour altérées.
• À ce stade, les pirates ont également établi des portes dérobées à l'aide de programmes malveillants afin de contourner les protocoles d'authentification standard et les autres mesures de sécurité en place.
• Une fois cette première opération terminée, les pirates se sont rétractés. Ils ont à nouveau trouvé le moyen de pénétrer dans le réseau de l'entreprise des mois plus tard. Cette stratégie a donné aux pirates suffisamment de temps pour évaluer l'étendue de la propagation du malcode injecté.
• L'intégration AD-DNS a été exploitée. Les pirates ont surveillé et manipulé la topologie DNS pour déterminer les serveurs de noms de domaine de premier niveau à exploiter, notamment les cibles point gov et point com.
• La cyberactivité a repris à travers la porte dérobée qui a été créée. Cette porte dérobée a permis aux pirates de rester dans le réseau compromis afin de pouvoir y pénétrer à nouveau en cas de besoin, de se déplacer latéralement et de continuer à élever leurs privilèges pour causer d'autres dommages.
• Le plan principal consistait maintenant à faire en sorte que le code malveillant, qui faisait désormais partie des mises à jour du système et d'autres logiciels associés, se propage de l'entreprise informatique à ses clients. Certaines agences gouvernementales clés et des entreprises privées de premier plan ont été ciblées de cette manière.
• Le code malveillant a eu pour effet d'affecter le schéma AD. Il y a même eu un scénario dans lequel les données les plus fondamentales de l'AD, c'est-à-dire les propriétés des comptes utilisateur, comme le numéro de téléphone associé aux comptes utilisateur, ont été altérées.
• La mise à jour compromise et défectueuse a permis aux pirates de contrôler les comptes concernés, de modifier les stratégies et les préférences, et d'étendre leur botnet.
• Les pirates pouvaient désormais espionner les réseaux de plusieurs entreprises à la fois et maintenir une communication constante avec les serveurs de commande et de contrôle nouvellement établis.
• Cette cyberattaque a démontré certaines des conséquences les plus néfastes d'une attaque de la chaîne d'approvisionnement.
• Après que l'entreprise informatique a ignoré de multiples signes d'alerte, l'activité malveillante a finalement été signalée par l'un de ses clients.
• S'en est suivie une période de reconnaissance intensive, de remédiation et de répercussions tangibles et intangibles pour l'entreprise informatique.

Une attaque par violation des données d'un tiers a eu un impact sur une entreprise automobile internationale

La manière dont les stratégies de cybersécurité d'une entreprise sont adoptées et leur efficacité dépendent de la proactivité ou de la réactivité d'un fournisseur tiers dans la protection de ses vecteurs d'attaque.

Il est essentiel d'exiger que les tiers procèdent à une solide évaluation des risques. Les brèches de sécurité resteront nombreuses tant que les entreprises ne veilleront pas à ce que les évaluations de sécurité des fournisseurs soient obligatoires.

Une étude de cas récente est détaillée ici. L'une des filiales d'une entreprise automobile internationale a été victime d'une violation de données à cause de son fournisseur tiers.

Voici ce qui s'est passé :

• Un fournisseur tiers disposant d'un accès privilégié au service d'annuaire d'une entreprise automobile accédait régulièrement à l'environnement AD du client pour des opérations commerciales spécifiques.
• Il n'a pas été déterminé si l'accès accordé par l'entreprise automobile au fournisseur était basé sur des rôles.
• Une approche Zero Trust aurait dû être suivie pour établir un environnement à moindre privilège. Les risques d'utilisation abusive de données hautement sensibles étaient implicitement élevés, ce qui rendait l'ensemble de l'écosystème AD vulnérable aux failles de sécurité.
• Le fournisseur, avec ou sans intentions malveillantes, a laissé certaines des données hautement sensibles non sécurisées sur Internet pendant une période prolongée.
• Cette violation de données a exposé des informations confidentielles, ouvrant la voie à d'éventuels cas d'usurpation d'identité et à d'autres conséquences graves résultant de la compromission d'informations personnelles.
• Le fournisseur, par sa négligence, a causé de nombreuses infractions liées à la conformité qui ont eu un impact négatif sur son client.
• La société automobile a subi des pertes financières et de réputation pour atténuer les dommages causés à ses clients en raison de la violation de données.

Une violation de la sécurité dans un groupe hôtelier renommé

Les entreprises, en particulier dans le secteur de l'hôtellerie, ont besoin d'une maintenance régulière de leurs bases de données pour assurer leur bon fonctionnement au quotidien.

Les décisions stratégiques, telles que les fusions et les acquisitions, transforment souvent complètement la topologie des AD et nécessitent une solution robuste de surveillance de la sécurité pour garantir que les données ne sont pas compromises.

Les conséquences d'un événement indésirable en matière de cybersécurité qui pourrait survenir à la suite d'une fusion, le cas échéant, peuvent être catastrophiques.

C'est ce qui s'est passé pour un groupe hôtelier renommé "X" ; un événement qui a eu de graves conséquences après sa fusion très médiatisée avec un autre leader du marché, "Y", à l'époque.

Voici comment s'est déroulée l'attaque de sécurité :

• L'attaque a été initiée comme une attaque AD typique : Un utilisateur vulnérable, bien que disposant apparemment de faibles privilèges, a d'abord été compromis pour obtenir un accès initial au réseau du groupe hôtelier Y.
• Les rapports indiquent que cette compromission initiale a été réalisée bien plus tôt, des années avant qu'une fusion avec le groupe hôtelier X ne soit envisagée.
• Les pirates, nous le savons maintenant, ont inséré un code malveillant, un Trojan d'accès à distance, soit par le biais d'un e-mail de phishing, soit en utilisant l'outil de script open source Mimikatz.
• Ils ont ensuite pris le contrôle d'autres comptes utilisateur avec des privilèges administrateur et ont eu accès à des bases de données hautement confidentielles et sensibles.
• À ce stade, la fusion a finalement pris forme. Ce que nous savons maintenant, c'est que malgré la fusion, l'infrastructure informatique de la société Y a continué à être utilisée.
• Après des années passées inaperçues, l'équipe de sécurité du groupe hôtelier X a découvert une activité anormale des pirates. Une requête habituelle de la base de données pour accéder à la base de données de l'entreprise Y a été détectée, déclenchant une notification de drapeau rouge à l'équipe de sécurité et l'alertant d'une activité réseau potentiellement suspecte.
• Le groupe hôtelier X a alors pris des mesures correctives.
• Il a été révélé que les pirates avaient maîtrisé la base de données et volé les informations personnelles de plus d'un million de clients grâce à une période prolongée de surveillance non autorisée de l'activité réseau avant et après la fusion.
• Ce vol massif de données a ouvert la voie à de nombreuses conséquences potentiellement désastreuses pour les clients des groupes hôteliers X et Y.
• L'absence de tout système de surveillance de la sécurité, d'abord au sein du groupe hôtelier Y, ce qui a permis aux pirates de ne pas être détectés pendant tout ce temps, puis au sein du groupe hôtelier X après la fusion, lorsque l'escroquerie a été révélée, est devenue un point noir très discuté dans l'histoire de la réputation de cette marque.

Il s'agit de trois attaques sur lesquelles je voulais attirer votre attention pour vous faire comprendre à quel point une compromission de votre infrastructure AD peut être fondamentale mais aussi catastrophique. Les trois attaques, la méthodologie de chacune d'entre elles et leur impact reflètent certaines des plus grandes leçons en matière de cybersécurité aujourd'hui.

La plupart des cyberattaques ciblent l'environnement AD. Ce n'est que par la connaissance et l'application que vous pouvez intégrer et maintenir les principes de sécurité et de cybersécurité pour mieux protéger votre AD.

La sécurité des AD exige que vous en fassiez une priorité.