FireEye lance un outil d'audit des réseaux pour identifier les techniques utilisées par les pirates de SolarWinds

La société de cybersécurité FireEye a publié aujourd'hui (19 janvier 2021) un rapport détaillant les techniques utilisées par les pirates de SolarWinds à l'intérieur des réseaux d'entreprises infectées par l'attaque "Sunburst".

Parallèlement au rapport, les chercheurs de FireEye ont également publié un outil gratuit sur GitHub appelé Azure AD Investigator qui, selon eux, peut aider les entreprises à déterminer si les pirates de SolarWinds (également connus sous le nom de UNC2452) ont utilisé l'une de ces techniques dans leurs réseaux.

Two Professional IT Programers Discussing Blockchain Data Network Architecture Design and Development Shown on Desktop Computer Display. Working Data Center Technical Department with Server Racks

Le rapport FireEye d'aujourd'hui intervient alors que la société de sécurité a mené des enquêtes sur la chaîne d'approvisionnement compromise de SolarWinds, en collaboration avec Microsoft et CrowdStrike.

Le piratage de SolarWinds a été découvert le 13 décembre 2020, lorsque FireEye et Microsoft ont confirmé qu'un acteur menaçant s'était introduit dans le réseau du fournisseur de logiciels informatiques SolarWinds et avait corrompu les mises à jour de l'application Orion avec des logiciels malveillants.

Le malware, connu sous le nom de Sunburst (ou Solorigate), était utilisé pour recueillir des informations sur les entreprises infectées. La plupart des 18000 clients SolarWinds qui ont installé une version cheval de Troie de l'application Orion ont été ignorés, mais pour certaines cibles sélectionnées, les pirates ont déployé une deuxième souche de malware connue sous le nom de Teardrop, puis ont utilisé plusieurs techniques pour escalader l'accès à l'intérieur du réseau local et aux ressources cloud de l'entreprise, avec un accent particulier sur la violation de l'infrastructure Microsoft 365.

Dans son rapport, FireEye a donné des détails sur les techniques de compromis post-initial, ainsi que les stratégies de détection, de correction et de renforcement que les entreprises peuvent appliquer.

En résumé, ces techniques sont les suivantes :

1.   Voler le certificat de signature de jetons ADFS (Active Directory Federation Services) et l'utilisez pour forger des jetons pour des utilisateurs arbitraires (parfois décrits comme l'attaque "Golden SAML"). Cela permettrait à l'attaquant de s'authentifier auprès d'un fournisseur de ressources fédérées (tel que Microsoft 365) comme n'importe quel utilisateur, sans avoir besoin du mot de passe de cet utilisateur ou de son mécanisme d'authentification multifacteur (MFA) correspondant.

2.   Modifier ou ajouter des domaines approuvés dans Azure AD pour ajouter un nouveau fournisseur d'identité (IdP) contrôlé par l'attaquant. Cela permettrait à l'attaquant de forger des jetons pour des utilisateurs arbitraires et est ainsi considéré comme une porte dérobée Azure AD.

3.   Compromettre les informations d'identification des comptes d'utilisateurs locaux synchronisés avec Microsoft 365 qui ont des privilèges élevés, tels que l'administrateur général ou l'administrateur d'applications.

4.   Détruir une application Microsoft 365 existante en lui ajoutant des informations d'identification non autorisées afin d'utiliser les autorisations légitimes attribuées à l'application, telles que la capacité de lire des e-mails, d'envoyer des e-mails en tant qu'utilisateur arbitraire, d'accéder aux calendriers des utilisateurs, etc., tout en contournant l'authentification à multi-facteurs (MFA - Multi-Factor Authentication).

«Alors que l'UNC2452 a démontré un niveau de sophistication et d'évasion, les techniques observées sont à la fois détectables et défendables», a déclaré aujourd'hui FireEye.

En fait, c'est la capacité de FireEye à détecter ces techniques à l'intérieur de son propre réseau qui a conduit l'entreprise à enquêter sur une brèche interne, puis à découvrir l'incident plus large de SolarWinds .

Des outils similaires à celui de FireEye ont également été publiés par l'agence américaine pour la cybersécurité et la sécurité des infrastructures (appelée Sparrow) et CrowdStrike (appelée CRT).

S'ABONNER À NOTRE NEWSLETTER

18 BP 2203 Abidjan 18 – Côte d’Ivoire
Téléphone : +225 27 20 34 42 63 
Fax : +225 27 20 34 43 75
Marcory Anoumanbo, Abidjan – Côte d’Ivoire

 

 

PARTENAIRES