FireEye, l’entreprise qui avait en décembre révélé le piratage chez SolarWinds, sort à présent des recommandations et un outil gratuit permettant aux entreprises d’effectuer des tests pour savoir si elles ont été touchées.
On espère que la plupart des entreprises – surtout celles qui utilisent le logiciel Orion de SolarWinds – ont entre-temps passé leurs systèmes au crible, mais si elles recherchent encore des informations en la matière, elles peuvent se tourner vers une nouvelle mise à jour sur un blog de FireEye.
FireEye avait en décembre dernier donné des détails sur une attaque de type ‘supply chain’ effectuée via le logiciel de gestion Orion. Des pirates, probablement des agents d’état russes, auraient injecté du code personnel dans une mise à jour du logiciel, ce qui leur aurait permis de pénétrer dans les systèmes de quelques institutions publiques américaines, mais aussi chez Microsoft et dans une série d’autres firmes technologiques.
Jetons ‘sign-in’ factices
Dans un nouveau communiqué posté sur son blog, le chercheur en sécurité distille à présent des informations supplémentaires. La priorité des hackers semble avoir été les instances publiques et les firmes IT. Plus spécifiquement ces dernières, parce qu’elles peuvent être exploitées comme des passerelles vers d’autres entreprises encore.
Au niveau des utilisateurs, les agresseurs auraient surtout ciblé ceux ayant accès à des informations sensibles, ainsi que les administrateurs systèmes. Ils y sont parvenus en contournant les systèmes d’authentification du réseau au moyen de certificats numériques contrefaits et de jetons factices pour l’Azure Active Directory. Les hackers s’avèrent ainsi particulièrement difficiles à détecter.
De là, les pirates auraient recherché des personnes assumant des fonctions importantes dans le répertoire de Microsoft 365, comme des Global Administrators ou des Application Administrators, afin de pouvoir toucher des administrateurs systèmes. Ils auraient ensuite intégré une porte dérobée dans une application Microsoft 365 existante en y ajoutant une nouvelle application ou un ‘device principal login’. Ce faisant, ils pouvaient utiliser les autorisations de cette application pour lire par exemple le mail des utilisateurs.
Comment réagir?
“On pourrait comparer les entrées dans les historiques Sign-In d’Azure AD à celles des historiques des Active Directory Federation Services sur site pour savoir si toutes ces authentifications émanent bien d’AD FS”, indique l’entreprise, tout en ajoutant dans la foulée que cela est difficile à faire dans la pratique. Comme réagir alors? FireEye propose dans un rapport étoffé de contrôler à coup sûr les comptes ‘sysadmin’ pour y déceler d’éventuels nouveaux ‘service principals’ et les supprimer si tel est le cas. Il est conseillé également d’enlever les données de login suspectes d’applications. FireEye a aussi placé un mini-script sur GitHub, qui recherche automatiquement tout login qui aurait û être touché par la version piratée du logiciel Orion.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici