Microsoft révèle la cible réelle de la cyberattaque SolarWinds
L'enquête de Microsoft sur la cyberattaque SolarWinds qui fait la une des journaux se poursuit, avec plus d'informations sur les intentions des attaquants.
L'attaque, appelée Solorigate par Microsoft (et Sunburst par la société de cybersécurité FireEye), a revendiqué de nombreuses cibles de premier plan, en particulier des départements gouvernementaux américains.
Microsoft révèle l'objectif final de SolarWinds suspecté
Comme si revendiquer des scalps tels que le Trésor américain et les départements de la sécurité intérieure, de l'État, de la défense, de l'énergie et du commerce ne suffisait pas, un récent blog Microsoft Security indique que la cible réelle de l'attaque était les actifs de stockage dans le cloud.
Les attaquants ont eu accès aux réseaux cibles à l'aide d'une mise à jour SolarWinds Orion malveillante. Ayant précédemment compromis SolarWinds et inséré des fichiers malveillants dans une mise à jour logicielle, les attaquants ont obtenu un accès complet au réseau lors de l'installation de la mise à jour.
Une fois à l'intérieur, les attaquants ont «peu de risques de détection car l'application signée et les binaires sont communs et considérés comme fiables».
Parce que le risque de détection était si faible, les attaquants pouvaient choisir leurs cibles. Une fois la porte dérobée installée, les attaquants pourraient prendre leur temps pour comprendre l'intérêt de continuer à explorer le réseau, laissant les réseaux «de faible valeur» comme option de secours.
Microsoft pense que le dernier motif des attaquants était d'utiliser "l'accès par porte dérobée pour voler des informations d'identification, augmenter les privilèges et se déplacer latéralement pour avoir la possibilité de créer des jetons SAML valides".
Les jetons SAML (Security Assertion Markup Language) sont un type de clé de sécurité. Si les attaquants pouvaient voler la clé de signature SAML (comme une clé principale), ils pourraient créer et valider les jetons de sécurité qu'ils créent, puis utiliser ces clés auto-validées pour accéder aux services de stockage cloud et aux serveurs de messagerie.
Avec la possibilité de créer des jetons SAML illicites, les attaquants peuvent accéder aux données sensibles sans avoir à provenir d'un appareil compromis ou à se limiter à la persistance sur site. En abusant de l'accès aux API via des applications OAuth ou des principaux de service existants, ils peuvent tenter de se fondre dans le modèle normal d'activité, notamment les applications ou les principaux de service.
La NSA accepte les abus d'authentification
Plus tôt en décembre 2020, l'Agence de sécurité nationale a publié un avis officiel de cybersécurité [PDF] intitulé «Détecter les abus des mécanismes d'authentification». L'avis corrobore très bien l'analyse de Microsoft selon laquelle les attaquants voulaient voler des jetons SAML pour créer une nouvelle clé de signature.
Les acteurs exploitent un accès privilégié dans l'environnement sur site pour renverser les mécanismes que l'organisation utilise pour accorder l'accès au cloud et aux ressources sur site et / ou pour compromettre les informations d'identification de l'administrateur avec la capacité de gérer les ressources du cloud.
Le blog Microsoft Security et le NSA Cybersecurity Advisory contiennent des informations sur le renforcement de la sécurité du réseau pour se protéger contre les attaques, ainsi que sur la façon dont les administrateurs réseau peuvent détecter tout signe d'infiltration.