Actualités

Un “cyber-attaquant sur le réseau d’entreprise d’une agence fédérale” : intrusion depuis un accès légitime à Office 365 !

La CISA (Cybersecurity and Infrastructure Security Agency) alerte : dans un rapport d’analyse datant du 24 Septembre dernier, une “agence fédérale” américaine a vu son réseau compromis par une intrusion sécuritaire. Si, pour l’heure, aucune information concernant ladite agence ainsi ciblée, le modus operandi a été, toutefois, détaillé…

 

 

L’acteur de la cyber-menace disposait d’informations d’identification d’accès valides pour les comptes Microsoft Office 365 (O365) et les comptes d’administrateur de domaine de plusieurs utilisateurs, qu’ils utilisaient pour l’accès initial au réseau de l’agence. L’acteur de la menace s’est d’abord connecté au compte O365 d’un utilisateur à partir de l’adresse IP 91.219.236 [.] 166, puis a parcouru des pages sur un site SharePoint et téléchargé un fichier. L’acteur de la cyber-menace s’est connecté plusieurs fois par le protocole TCP (Transmission Control Protocol) depuis l’adresse IP 185.86.151 [.] 223 au serveur de réseau privé virtuel (VPN) de l’organisation victime“, est-il confirmé.

L’exploit repose sur la faille mise à nue par l’équipe Bank Security, début Août 2020 : assignée CVE-2019-11510, elle affectait le VPN Pulse Secure où une aspiration de données (noms, mots de passe) a pu être opérée depuis le parc de quelques 900 serveurs dédiés dont 677, à l’époque du moins, véritablement vulnérables du fait d’une non-mise à jour des systèmes. Si, entre-temps, d’autres incidents ont été rapportés (Monsoon dont pas moins de 45 000 comptes-utilisateurs ont été agrippés), il semble que certains serveurs de cette “agence fédérale” aient été omis dans la salve de mise à jour (!!) puisque les cyber-attaquants ont pu profiter de cette vulnérabilité pour s’introduire aisément dans les systèmes.

Côté modus operandi, une fois la connexion à Office 365 effectuée, une autre vulnérabilité a été exploitée : dernière en date, Zerologon, depuis cette rentrée 2020, pointait du doigt une défaillance d’Active Directory depuis le NRP (Netlogon Remote Protocol). Si la CISA évoque plus globalement le protocole RDP sans approfondir plus le propos, Active Directory est bien cité ce qui laisse peu de chance au hasard, quant au type de faille – récente et / ou non-colmatée, exploitable – ainsi étrennée. Une fois la connexion établie avec le protocole distant, un script a été lancé (plink.exe, découlant de PuTTy) en vu de créer “un tunnel SSH (Secure Socket Shell) / proxy SOCKS inverse persistant, exécutant inetinfo.exe (un, malware en plusieurs étapes utilisé pour déposer des fichiers), et configurer un partage distant monté localement sur l’adresse IP 78.27.70 [.] 237. Le partage de fichiers monté permettait à l’acteur de se déplacer librement pendant ses opérations tout en laissant moins d’artefacts“, précise la CISA.

 

De là, la modification, suppression voire aspiration de données ont pu avoir lieu. En bonus, un malware a été installé : nommé inetinfo.exe, il supprimait, dans un premier temps, les fichiers contenus dans le system (dll) pour, dans un second temps, “se connecter à un tunnel nommé localement” via WinDiag.exe. Une fois fois la connexion établie, une injection de code s’est opérée (shell…) pour rendre effectif cette charge malveillante.

Il est recommandé de surveiller les activités-réseaux suspectes, notamment le port 8 100 ainsi que de pratiquer une veille automatisée pour certains protocoles sensibles comme actuellement le RDP ou encore le SMB et le SSH. En toute dernière ligne du tout dernier paragraphe du rapport, il est vivement recommandé, par ailleurs, de mettre à jour ses logiciels et systèmes pour éviter la possibilité d’exploits tels que Zerologon, par exemple… A veiller !

 

 

Source : CISA – 24 Septembre 2020 – Rapport d’analyse : intrusion sécuritaire dans le réseau d’une “agence fédérale” américaine exploitant la faille VPN PulseSecure + le protocole distant RDP via Active Directory (Zerologon).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020