AVIS D’EXPERT – Jason Steer, Global CISO de Recorded Future, un spécialiste du renseignement sur les menaces, éclaire les lecteurs de Solutions-Numériques sur les moyens de riposter efficacement au détournement de session et au contournement de MFA.
En cybersécurité, on ne voit souvent que la pointe émergée de l’iceberg. Dans les faits, de nombreuses attaques sont réalisées en plusieurs étapes, de la « reconnaissance initiale » au « déplacement latéral » pour aboutir à la « mission accomplie ». Même si les bonnes pratiques maintiennent généralement que la MFA (authentification multifacteur) et les gestionnaires de mots de passe sont suffisants pour limiter les risques de détournement de comptes, les cybercriminels s’adaptent très vite. Comment les organisations peuvent-elles immédiatement riposter en reconfigurant leurs outils de détection des intrusions et en améliorant leur renseignement sur les menaces ?
Le marché de l’accès initial en pleine croissance
Même si la MFA est une bonne pratique recommandée pour la sécurité des entreprises, de nombreux comptes ne sont encore protégés que par une simple combinaison nom d’utilisateur/mot de passe. C’est exactement ce que cherchent les cybercriminels pour obtenir ou améliorer leur accès à un système ciblé. Ils peuvent y parvenir via un simple hameçonnage réalisé à l’aide d’outils d’enregistrement de saisie tels que les keyloggers, ou les logiciels de vol d’identifiants comme RedLine ou Raccoon. Un acteur malveillant peut utiliser ces outils lui-même ou simplement acheter des identifiants exfiltrés à un autre cybercriminel qui les a déjà volés. Il peut aussi utiliser l’historique Bash, les fichiers de clé de chiffrement, les registres, les notes, les fichiers et les identifiants d’administrateur système codés en dur dans les scripts ou les applications.
Les acteurs malveillants comme les groupes de ransomware sont en train de devenir des spécialistes de l’obtention des accès, connus sous le nom de courtiers d’accès initial (IAB). Cela peut être un dispositif VPN, un système de gestion du contenu, une passerelle Citrix ou d’autres systèmes d’entreprise critiques. Selon un rapport récent de Recorded Future, le marché des IAB est en pleine croissance car les cybercriminels cherchent à externaliser davantage leur travail. Une fois l’accès initial obtenu, les acteurs malveillants déposent souvent un web shell dans l’environnement de leur victime afin d’obtenir un accès continu et d’installer de nouveaux outils ou d’obtenir des informations supplémentaires sur le système. Ils peuvent utiliser des élévations de privilèges ou la collecte d’identifiants pour accéder à d’autres machines sur le même réseau et obtenir un déplacement latéral.
Comment organiser sa défense ?
Le renseignement sur les menaces est un outil de sécurité essentiel pour minimiser les risques cyber, y répondre rapidement et rendre les systèmes plus résilients. Le type d’informations qui s’avère le plus utile est le type d’accès que les IAB vendent actuellement et comment ils ciblent généralement des organisations similaires. Les équipes de sécurité doivent adopter une approche basée sur les risques par rapport aux vulnérabilités qui sont exploitées lors des attaques perpétrées sur leurs pairs, par exemple. Elles doivent aussi être informées des identifiants d’entreprise qui circulent sur le dark web. En agissant rapidement, il est possible de réinitialiser les mots de passe avant qu’ils ne soient vendus à d’éventuels acteurs malveillants.
Le renseignement sur les menaces fournit des informations sur les produits de la chaîne d’approvisionnement et les points faibles éventuels, et permet de surveiller en continu les nouveaux enregistrements de domaine qui visent à imiter les domaines d’entreprises légitimes. Ce type de renseignement exige d’examiner de nombreuses sources, des terminaux d’entreprise aux sites sur le dark web. Il est permet de scanner la présence d’éventuels vols d’identifiants, de web shell ou d’autres outils malveillants. La clé est de mettre la lumière sur ceux qui préféreraient rester dans l’obscurité et de multiplier les défenses pour avoir plus de chance de les piéger.
Emergence du détournement de session et du contournement de MFA
Le détournement de session via un logiciel malveillant de type infostealer et le vol de cookies est un moyen de plus en plus populaire de contourner le MFA. Au cours des 12 derniers mois, Recorded Future a observé 14 905 références à des messages clandestins relatifs au cybercrime incluant les mots clés « cookies », « cookies de session » et
« détournement de session ». Pourquoi est-ce si populaire ? Parce que les cookies HTTP sont utilisés pour gérer les sessions des utilisateurs, stocker les préférences de personnalisation des utilisateurs et analyser leur comportement. Si un acteur malveillant parvient à voler le « cookie magique » utilisé pour authentifier un utilisateur à une application interne ou de tiers, il pourra détourner les sessions d’utilisateur en restant totalement anonyme, en se faisant passer pour l’utilisateur légitime.
Une fois les cookies volés, une technique post-exploitation relativement directe appelée
« pass the cookie » permet à l’acteur malveillant de détourner la session d’utilisateur. Plutôt que de voler des mots de passe, cette méthode lui permet de contourner des points de contrôle de la MFA. Bien souvent, les sessions expirent après 7 jours ou plus, ce qui offre une belle opportunité d’accéder à des applications et services web sensibles, de voler des données, de déployer des ransomwares et bien d’autres.
Le sens du commerce des cybercriminels
Les cybercriminels savent reconnaître une opportunité. C’est pourquoi les cookies sont souvent inclus dans des packages faciles d’utilisation, tels que les « bots » ou les « logs » vendus sur les plateformes du darknet. En plus des cookies de session, ces packages contiennent des identifiants de compte, des adresses IP et des empreintes digitales d’appareil. Ces données peuvent être importées dans une extension de navigateur appelée Genesis Security, permettant aux acteurs malveillants de se faire passer pour la victime des attaques de piratage de compte et de détournement de session.
Les courtiers d’accès initial (IAB) vendent également des cookies avec des identifiants volés, si l’accès au réseau exige une MFA. L’exploitation des identités grâce aux logiciels infostealer et au détournement de session est une tactique clé du « célèbre » groupe Lapsus$, qui prétend avoir volé les données de nombreuses grandes entreprises de technologie, telles que Samsung, Microsoft et Nvidia.
Alors que la MFA se popularise de plus en plus, les efforts pour la contourner aussi. La MFA et les gestionnaires de mots de passe doivent toujours être de facto. Les équipes de sécurité devraient explorer les solutions qui imposent la MFA de manière plus fréquente. C’est à elles d’en déterminer la fréquence, le niveau de friction pour ses utilisateurs, les applications à renforcer. Surveiller les identités compromises de son organisation, réduit la fenêtre d’attaque pour voler les informations relatives à l’identité et les revendre à un autre criminel. Aujourd’hui, pour aller plus loin, il est possible de connecter directement ce renseignement sur les identités à un fournisseur d’IAM (Identity & Access Management), afin d’automatiser les identités à l’aide d’une réinitialisation et d’une révision automatiques de mot de passe pour accélérer le repérage de cette menace.