À la fin de la semaine dernière, Microsoft a publié un rapport intitulé Analyse des techniques Storm-0558 pour l'accès non autorisé aux e-mails.
Dans ce document plutôt dramatique, l'équipe de sécurité de l'entreprise a révélé le contexte d'un piratage jusqu'alors inexpliqué au cours duquel des données, notamment le texte d'e-mails, les pièces jointes et bien plus encore, ont été consultées :
d'environ 25 organisations, y compris des agences gouvernementales et des comptes de consommateurs associés dans le cloud public.
La mauvaise nouvelle, même si seulement 25 organisations auraient été attaquées, est que cette cybercriminalité pourrait néanmoins avoir touché un grand nombre de personnes, étant donné que certaines administrations américaines emploient entre des dizaines et des centaines de milliers de personnes.
La bonne nouvelle, du moins pour la grande majorité d'entre nous qui n'avons pas été exposés, est que les astuces et contournements utilisés dans l'attaque étaient suffisamment spécifiques pour que les chasseurs de menaces de Microsft aient pu les retrouver de manière fiable, de sorte que le total final de 25 organisations semble en effet être une liste complète de hit-list.
En termes simples, si Microsoft ne vous a pas encore dit directement qu'il faisait partie de ce piratage (la société n'a évidemment pas publié de liste de victimes), alors autant supposer que vous êtes à l'abri.
Mieux encore, si « meilleur » est le bon mot ici, l'attaque s'est appuyée sur deux failles de sécurité dans les opérations back-end de Microsoft, ce qui signifie que les deux vulnérabilités ont pu être corrigées « en interne », sans mettre à jour de logiciel ou de configuration côté client.
Cela signifie qu’il n’y a pas de correctifs critiques que vous devez vous précipiter et installer vous-même.
Les jours zéro qui ne l'étaient pas
Les jours zéro, comme vous le savez, sont des failles de sécurité que les méchants ont découvert en premier et ont su exploiter, ne laissant ainsi aucun jour disponible pendant lequel même les équipes de sécurité les plus passionnées et les mieux informées auraient pu corriger avant les attaques.
Techniquement, ces deux failles Storm-0558 peuvent donc être considérées comme des failles Zero Day, car les escrocs ont activement exploité les bugs avant que Microsoft ne soit en mesure de traiter les vulnérabilités impliquées.
Cependant, étant donné que Microsoft a soigneusement évité le mot « jour zéro » dans sa propre couverture, et étant donné que la correction des failles ne nous obligeait pas tous à télécharger des correctifs, vous verrez que nous les avons appelés dans le titre ci-dessus. jours semi-zéro, et nous en resterons à la description.
Néanmoins, la nature des deux problèmes de sécurité interconnectés dans cette affaire rappelle de manière essentielle trois choses, à savoir que :
- La cryptographie appliquée est difficile.
- La segmentation de la sécurité est difficile.
- La chasse aux menaces est difficile.
Les premiers signes d'actes malveillants ont montré des escrocs se faufilant dans les données Exchange des victimes via Outlook Web Access (OWA), en utilisant des jetons d'authentification acquis illégalement.
En règle générale, un jeton d'authentification est un cookie Web temporaire, spécifique à chaque service en ligne que vous utilisez, que le service envoie à votre navigateur une fois que vous avez prouvé votre identité de manière satisfaisante.
Pour établir solidement votre identité au début d'une session, vous devrez peut-être saisir un mot de passe et un code 2FA à usage unique, présenter un dispositif cryptographique « clé d'accès » tel qu'une Yubikey, ou déverrouiller et insérer une carte à puce dans un lecteur.
Par la suite, le cookie d'authentification émis sur votre navigateur agit comme un laissez-passer à court terme afin que vous n'ayez pas besoin de saisir votre mot de passe ou de présenter votre dispositif de sécurité encore et encore pour chaque interaction que vous avez avec le site.
Vous pouvez considérer le processus de connexion initial comme la présentation de votre passeport au comptoir d'enregistrement d'une compagnie aérienne et le jeton d'authentification comme la carte d'embarquement qui vous permet d'entrer à l'aéroport et de monter dans l'avion pour un vol spécifique.
Parfois, il peut vous être demandé de réaffirmer votre identité en montrant à nouveau votre passeport, par exemple juste avant de monter dans l'avion, mais souvent, la seule présentation de la carte d'embarquement vous suffira pour établir votre « droit d'être là » lors de votre voyage. dans les zones côté piste de l'aéroport.
Les explications probables ne sont pas toujours exactes
Lorsque des escrocs commencent à apparaître avec le jeton d'authentification de quelqu'un d'autre dans les en-têtes HTTP de leurs requêtes Web, l'une des explications les plus probables est que les criminels ont déjà implanté un logiciel malveillant sur l'ordinateur de la victime.
Si ce malware est conçu pour espionner le trafic réseau de la victime, il parvient généralement à voir les données sous-jacentes après leur préparation à l'utilisation, mais avant qu'elles ne soient cryptées et envoyées.
Cela signifie que les escrocs peuvent espionner et voler des données de navigation privée vitales, y compris des jetons d'authentification.
De manière générale, les attaquants ne peuvent plus détecter les jetons d'authentification lorsqu'ils voyagent sur Internet, comme ils le pouvaient généralement jusqu'en 2010 environ. En effet, de nos jours, tout service en ligne réputé exige que le trafic vers et depuis les utilisateurs connectés transite via HTTPS. , et uniquement via HTTPS, abréviation de HTTP sécurisé.
HTTPS utilise TLS, abréviation de sécurité de la couche de transport, qui fait ce que son nom suggère. Toutes les données sont fortement cryptées lorsqu'elles quittent votre navigateur, mais avant d'arriver sur le réseau, et ne sont déchiffrées que lorsqu'elles atteignent le serveur prévu à l'autre extrémité. Le même processus de brouillage des données de bout en bout se produit à l'inverse pour les données que le serveur renvoie dans ses réponses, même si vous essayez de récupérer des données qui n'existent pas et que tout ce que le serveur a besoin de vous dire est superficiel. 404 Page not found
.
Heureusement, les chasseurs de menaces de Microsoft se sont vite rendu compte que les interactions frauduleuses par courrier électronique n'étaient pas dues à un problème déclenché du côté client de la connexion réseau, une hypothèse qui aurait envoyé les organisations victimes dans 25 courses-poursuites distinctes à la recherche de logiciels malveillants. pas là.
L’explication suivante la plus probable est celle qui, en théorie, est plus facile à corriger (car elle peut être corrigée pour tout le monde en une seule fois), mais en pratique elle est plus alarmante pour les clients, à savoir que les escrocs ont compromis d’une manière ou d’une autre le processus de création d’authentification. jetons en premier lieu.
Une façon d'y parvenir serait de pirater les serveurs qui les génèrent et d'implanter une porte dérobée pour produire un jeton valide sans vérifier au préalable l'identité de l'utilisateur.
Une autre façon, sur laquelle Microsoft a apparemment enquêté à l'origine, est que les attaquants ont pu voler suffisamment de données sur les serveurs d'authentification pour générer eux-mêmes des jetons d'authentification frauduleux mais d'apparence valide.
Cela impliquait que les attaquants avaient réussi à voler l'une des clés de signature cryptographiques que le serveur d'authentification utilise pour apposer un « sceau de validité » sur les jetons qu'il émet, afin de rendre aussi impossible pour quiconque de créer un faux jeton. cela serait acceptable.
En utilisant une clé privée sécurisée pour ajouter une signature numérique à chaque jeton d'accès émis, un serveur d'authentification permet à tout autre serveur de l'écosystème de vérifier facilement la validité des jetons qu'il reçoit. De cette façon, le serveur d'authentification peut même fonctionner de manière fiable sur différents réseaux et services sans jamais avoir besoin de partager (et de mettre régulièrement à jour) une liste divulgable de jetons réels et connus.
Un hack qui n'était pas censé fonctionner
Microsoft a finalement déterminé que les jetons d'accès malveillants lors de l'attaque Storm-0558 étaient légitimement signés, ce qui semblait suggérer que quelqu'un avait effectivement pincé la clé de signature de l'entreprise…
… mais ce n’étaient pas du tout le bon type de jetons.
Les comptes d'entreprise sont censés être authentifiés dans le cloud à l'aide de jetons Azure Active Directory (AD), mais ces faux jetons d'attaque ont été signés avec ce que l'on appelle une clé MSA, abréviation de Compte Microsoft, ce qui ressort du sigle utilisé pour désigner les comptes de consommateurs autonomes plutôt que les comptes d'entreprise basés sur AD.
En gros, les escrocs fabriquaient de faux jetons d'authentification qui avaient passé avec succès les contrôles de sécurité de Microsoft, mais ces jetons étaient signés comme s'ils étaient destinés à un utilisateur se connectant à un compte Outlook.com personnel plutôt qu'à un utilisateur d'entreprise se connectant à un compte d'entreprise.
En un mot, "Quoi?!!?!"
Apparemment, les escrocs n'ont pas été en mesure de voler une clé de signature au niveau de l'entreprise, seulement une clé au niveau du consommateur (ce n'est pas un dénigrement des utilisateurs au niveau du consommateur, mais simplement une sage précaution cryptographique pour diviser et séparer les deux parties du fichier). écosystème).
Mais après avoir réussi ce premier jour semi-zéro, à savoir acquérir un secret cryptographique de Microsoft sans se faire remarquer, les escrocs auraient trouvé un deuxième jour semi-zéro grâce auquel ils pourraient faire passer un jeton d'accès signé avec une clé de compte consommateur qui aurait dû signaler « cette clé n’a pas sa place ici » comme s’il s’agissait plutôt d’un jeton signé par Azure AD.
En d’autres termes, même si les escrocs se sont retrouvés avec le mauvais type de clé de signature pour l’attaque qu’ils avaient planifiée, ils ont néanmoins trouvé un moyen de contourner les mesures de sécurité divisées et séparées qui étaient censées empêcher leur clé volée de fonctionner.
Encore de mauvaises et de bonnes nouvelles
La mauvaise nouvelle pour Microsoft est que ce n'est pas la seule fois où l'entreprise a été jugée insuffisante en matière de signature de clés de sécurité au cours de l'année écoulée.
La dernier patch mardiEn effet, Microsoft a proposé tardivement une protection par liste de blocage contre un groupe de pilotes de noyau Windows malveillants et infectés par des logiciels malveillants que Redmond lui-même a signés sous l'égide de son programme de développement de matériel Windows.
La bonne nouvelle est que, comme les escrocs utilisaient des jetons d'accès de type entreprise signés avec une clé cryptographique de type grand public, leurs informations d'authentification malveillantes pourraient être traquées de manière fiable une fois que l'équipe de sécurité de Microsoft savait quoi rechercher.
Dans un langage riche en jargon, Microsoft note que :
L'utilisation d'une clé incorrecte pour signer les demandes a permis à nos équipes d'enquête de voir toutes les demandes d'accès des acteurs qui suivaient ce modèle dans nos systèmes d'entreprise et grand public.
L'utilisation d'une clé incorrecte pour signer cette étendue d'assertions était un indicateur évident de l'activité de l'acteur, car aucun système Microsoft ne signe les jetons de cette manière.
En termes plus simples, l'inconvénient du fait que personne chez Microsoft n'était au courant de cela à l'avance (empêchant ainsi qu'il soit corrigé de manière proactive) a conduit, ironiquement, à l'avantage que personne chez Microsoft n'avait jamais essayé d'écrire du code pour fonctionner de cette façon. .
Et cela, à son tour, signifiait que le comportement malveillant de cette attaque pouvait être utilisé comme un IoC fiable et unique, ou indicateur de compromis.
C'est, supposons-nous, la raison pour laquelle Microsoft est désormais confiant d'affirmer qu'il a retracé chaque cas où ces trous doubles semi-zéro ont été exploités, et que sa liste de 25 clients concernés est donc exhaustive.
Que faire?
Si Microsoft ne vous a pas contacté à ce sujet, nous pensons que vous pouvez être sûr que vous n'avez pas été concerné.
Et comme les solutions de sécurité ont été appliquées au sein du propre service cloud de Microsoft (à savoir, en désavouant toute clé de signature MSA volée et en comblant l'échappatoire permettant d'utiliser « le mauvais type de clé » pour l'authentification d'entreprise), vous n'avez pas besoin de vous précipiter pour installez vous-même les correctifs.
Cependant, si vous êtes un programmeur, un praticien de l'assurance qualité, un membre de l'équipe rouge/bleue ou un autre impliqué dans l'informatique, rappelez-vous les trois points que nous avons soulignés en haut de cet article :
- La cryptographie appliquée est difficile. Il ne suffit pas de choisir les bons algorithmes et de les mettre en œuvre de manière sécurisée. Vous devez également les utiliser correctement et gérer toutes les clés cryptographiques sur lesquelles le système s'appuie avec un soin approprié à long terme.
- La segmentation de la sécurité est difficile. Même lorsque vous pensez avoir divisé une partie complexe de votre écosystème en deux parties ou plus, comme Microsoft l'a fait ici, vous devez vous assurer que la séparation fonctionne réellement comme prévu. Sondez et testez vous-même la sécurité de la séparation, car si vous ne la testez pas, les escrocs le feront certainement.
- La chasse aux menaces est difficile. La première explication, et la plus évidente, n’est pas toujours la bonne, ou n’est peut-être pas la seule. N'arrêtez pas de chercher lorsque vous avez votre première explication plausible. Continuez jusqu'à ce que vous ayez non seulement identifié les exploits réels utilisés dans l'attaque en cours, mais également découvert autant d'autres causes potentiellement liées que possible, afin de pouvoir les corriger de manière proactive.
Pour citer une phrase bien connue (et le fait qu’elle soit vraie signifie que nous ne craignons pas qu’elle soit clichée) : La cybersécurité est un voyage, pas une destination.
Vous manquez de temps ou d’expertise pour vous occuper de la chasse aux menaces de cybersécurité ? Vous craignez que la cybersécurité finisse par vous distraire de toutes les autres choses que vous devez faire ?
En savoir plus sur Détection et réponse gérées par Sophos:
Recherche, détection et réponse aux menaces 24h/7 et XNUMXj/XNUMX ▶
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://nakedsecurity.sophos.com/2023/07/18/microsoft-hit-by-storm-season-a-tale-of-two-semi-zero-days/
- :possède
- :est
- :ne pas
- :où
- $UP
- 1
- 15%
- 25
- 2FA
- a
- Capable
- A Propos
- à propos de ça
- au dessus de
- Absolute
- accès
- accédé
- Compte
- hybrides
- a acquise
- acquisition
- à travers
- infection
- active Directory
- activité
- actes
- présenter
- actually
- Ad
- ajouter
- avancer
- Après
- encore
- à opposer à
- agences
- compagnie aérienne
- aéroport
- algorithmes
- Tous
- permis
- Permettre
- seul
- déjà
- aussi
- toujours
- an
- ainsi que
- tous
- chacun.e
- de n'importe où
- apparent
- appliqué
- d'environ
- SONT
- autour
- article
- AS
- assumer
- hypothèse
- assurance
- At
- attaquer
- Attaques
- authentifié
- Authentification
- auteur
- auto
- disponibles
- évité
- Azure
- RETOUR
- Back-end
- détourné
- fond
- image de fond
- Mal
- BE
- car
- était
- before
- va
- Améliorée
- embarquement
- corps
- frontière
- tous les deux
- Bas et Leggings
- navigateur
- Parcourir
- bogues
- Bouquet
- mais
- by
- CAN
- carte
- les soins
- prudemment
- maisons
- les causes
- Canaux centraux
- Assurément
- vérifier
- vérification
- Contrôles
- Selectionnez
- clair
- client
- fermeture
- le cloud
- code
- Couleur
- COM
- communément
- Société
- De l'entreprise
- complet
- complexe
- Compromise
- ordinateur
- confiance
- configuration
- connexion
- considéré
- consommateur
- gâteau
- Entreprises
- pourriez
- couverture
- couverture
- engendrent
- La création
- Lettres de créance
- Criminels
- critique
- Crooks
- cryptographique
- de la cryptographie
- Courant
- Clients
- la cybercriminalité
- Cybersécurité
- données
- journée
- jours
- affaire
- la description
- un
- bureau
- destination
- Détection
- déterminé
- Développeur
- dispositif
- DID
- différent
- numérique
- directement
- découvert
- Commande
- do
- document
- Ne fait pas
- Ne pas
- down
- download
- inconvénient
- véritable
- conducteurs
- pendant
- chacun
- plus facilement
- Easy
- risque numérique
- Sinon
- crypté
- fin
- end-to-end
- Anglais
- assez
- Entrer
- Entreprise
- droit
- établir
- Pourtant, la
- JAMAIS
- Chaque
- tout le monde
- échange
- exister
- attendre
- nous a permis de concevoir
- explication
- Exploiter
- Exploités
- exploits
- exposé
- fait
- faux
- figuré
- finale
- Prénom
- Fixer
- fixé
- vol
- suivi
- Pour
- trouvé
- frauduleux
- De
- générer
- obtenez
- donné
- Go
- aller
- Bien
- Gouvernement
- entaille
- ait eu
- arrive
- Dur
- Matériel
- Vous avez
- ayant
- têtes
- titre
- entendu
- la taille
- ici
- Frappé
- des trous
- flotter
- Comment
- How To
- http
- HTTPS
- Des centaines
- Chasse
- identifié
- Identite
- if
- Mettre en oeuvre
- implicite
- in
- Y compris
- Indicateur
- individus
- initiale
- à l'intérieur
- installer
- instance
- plutôt ;
- prévu
- l'interaction
- interactions
- interconnecté
- Internet
- développement
- enquête
- impliqué
- Ironiquement
- Publié
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- SES
- lui-même
- chemin
- jpg
- juste
- XNUMX éléments à
- ACTIVITES
- clés
- Savoir
- connu
- langue
- gros
- Nom de famille
- couche
- au
- Laisser
- départ
- LED
- à gauche
- Allons-y
- comme
- Probable
- Liste
- enregistrement
- vous connecter
- long-term
- Style
- recherchez-
- échappatoire
- LES PLANTES
- Majorité
- a prendre une
- FAIT DU
- malware
- gérer
- gérés
- de nombreuses
- Marge
- largeur maximale
- Mai..
- sens
- veux dire
- signifiait
- les mesures
- seulement
- Microsoft
- pourrait
- frapper
- PLUS
- (en fait, presque toutes)
- must
- prénom
- à savoir
- Nature
- Besoin
- besoin
- Besoins
- réseau et
- trafic réseau
- réseaux
- réseaux et services
- Néanmoins
- nouvelles
- aucune
- Ordinaire
- Notes
- maintenant
- nombre
- évident
- of
- de rabais
- offrant
- souvent
- on
- une fois
- ONE
- et, finalement,
- en ligne
- uniquement
- Opérations
- or
- Institution
- organisations
- initialement
- Autre
- autrement
- nos
- ande
- Outlook
- plus de
- propre
- page
- partie
- les pièces
- pass
- passé
- passeport
- Mot de Passe
- passé
- Pièce
- Patches
- Patron de Couture
- paul
- Personnes
- personnel
- Place
- prévu
- Platon
- Intelligence des données Platon
- PlatonDonnées
- plausible
- veuillez cliquer
- des notes bonus
- position
- Poteaux
- l'éventualité
- pratique
- préparé
- représentent
- prévention
- précédemment
- Privé
- Clé privée
- sonde
- Problème
- d'ouvrabilité
- processus
- produire
- Programme
- Programmeur
- protection
- prouvé
- public
- cloud public
- publié
- Poussant
- mettre
- qualité
- Devis
- plutôt
- atteint
- Reader
- vraiment
- recevoir
- Rouge
- visée
- régulièrement
- en relation
- relatif
- fiable
- rapport
- honorable
- demandes
- exigent
- conditions
- a besoin
- respect
- Révélé
- inverser
- bon
- se ruer
- s
- même
- scie
- portée
- Saison
- Deuxièmement
- secret
- sécurisé
- en toute sécurité
- sécurité
- Mesures de sécurité
- sur le lien
- sembler
- semblait
- segmentation
- envoyer
- envoie
- envoyé
- séparé
- service
- Services
- Session
- Partager
- Shorts
- assistance technique à court terme
- devrait
- montré
- montrant
- côté
- signer
- signé
- signature
- Signes
- unique
- site
- smart
- espionner
- So
- Logiciels
- solide
- quelques
- Quelqu'un
- disponible
- parlant
- groupe de neurones
- scission
- autonome
- Standard
- Commencer
- Région
- volé
- Arrêter
- tempête
- fortement
- tel
- suggérer
- Suggère
- convient
- supposé
- sûr
- SVG
- combustion propre
- Système
- Prenez
- conte
- équipe
- équipes
- techniques
- dire
- temporaire
- dizaines
- tester
- que
- qui
- La
- leur
- Les
- se
- puis
- théorie
- Là.
- donc
- Ces
- l'ont
- des choses
- penser
- this
- ceux
- bien que?
- milliers
- menace
- trois
- fiable
- TLS
- à
- jeton
- Tokens
- top
- Total
- suivre
- circulation
- transition
- communication
- Voyage
- essayé
- déclenché
- oui
- Essai
- TOUR
- deux
- typiquement
- En fin de compte
- sous
- sous-jacent
- expérience unique et authentique
- ouvrir
- jusqu'à
- Mises à jour
- Actualités
- sur
- Upside
- URL
- us
- gouvernement des États-Unis
- utilisé
- d'utiliser
- Utilisateur
- utilisateurs
- Usages
- en utilisant
- Vaste
- via
- Victime
- victimes
- vital
- vulnérabilités
- vouloir
- était
- Façon..
- we
- web
- semaine
- WELL
- bien connu
- ont été
- Quoi
- quand
- qui
- WHO
- why
- Sauvage
- sera
- fenêtres
- WISE
- comprenant
- sans
- Word
- des mots
- activités principales
- de travail
- inquiet
- pourra
- écrire
- écrire du code
- faux
- an
- encore
- you
- Votre
- vous-même
- zéphyrnet