Par John P. Desmond, rédacteur en chef des tendances de l'IA
Les pirates de SolarWinds semblaient avoir ciblé les services cloud comme un objectif clé, leur donnant potentiellement accès à de nombreux services cloud d'une organisation, sinon à tous.
Ceci provient d'un compte dans GeekWire écrit par Christopher Budd, an iConsultant en sécurité indépendant qui a travaillé auparavant dans le centre de réponse de sécurité de Microsoft pendant 10 ans.
"L'Si nous décodons les différents rapports et connectons les points, nous pouvons voir que les attaquants de SolarWinds ont ciblé les systèmes d'authentification sur les réseaux compromis, afin qu'ils puissent se connecter à des services cloud tels que Microsoft Office 365 sans déclencher d'alarmes », a écrit Budd. «Pire encore, la façon dont ils effectuent cela peut potentiellement être utilisée pour accéder à la plupart, sinon à la totalité, des services cloud d'une organisation.»
L'implication est que ceux qui évaluent l'impact des attaques doivent examiner non seulement leurs propres systèmes et réseaux, mais également leurs services basés sur le cloud pour trouver des preuves de compromission. Et cela signifie que se défendre contre les attaques signifie accroître la sécurité et la surveillance des systèmes d'authentification des services cloud, «à partir de maintenant».
Budd a cité ces principaux points à retenir:
- Après avoir pris pied dans un réseau, les attaquants de SolarWinds ciblent les systèmes qui émettent une preuve d'identité utilisée par les services cloud; et ils volent les moyens utilisés pour délivrer des pièces d'identité;
- Une fois qu'ils ont cette capacité, ils sont capables de créer de faux identifiants qui leur permettent d'usurper l'identité d'utilisateurs légitimes, ou de créer des comptes malveillants qui semblent légitimes, y compris des comptes avec un accès administratif;
- Étant donné que les identifiants sont utilisés pour fournir un accès aux données et aux services par des comptes basés sur le cloud, les attaquants peuvent accéder aux données et aux e-mails comme s'ils étaient des utilisateurs légitimes.
Méthode d'authentification SAML pour les services cloud considérés comme ciblés
Les services cloud utilisent une méthode d'authentification appelée SAML (Security Assertion Markup Language), qui émet un jeton «preuve» de l'identité d'un utilisateur légitime auprès des services. Budd a constaté, sur la base d'une série d'articles sur le blog Microsoft, que le service SAML était ciblé. Bien que ce type d'attaque ait été vu pour la première fois en 2017, «il s'agit de la première attaque majeure avec ce type de visibilité large qui cible les mécanismes d'authentification basés sur le cloud», a déclaré Budd.
En réponse à une question que Budd a posée à Microsoft, à savoir si l'entreprise avait connaissance de vulnérabilités ayant conduit à cette attaque, il a obtenu cette réponse: «Nous n'avons identifié aucune vulnérabilité de produit ou de service cloud Microsoft dans ces enquêtes. Une fois dans un réseau, l'intrus utilise alors le point d'ancrage pour obtenir des privilèges et utiliser ce privilège pour y accéder. »
Une réponse de la National Security Administration a été similaire, affirmant que les attaquants, en «abusant de l'authentification fédérée», n'exploitaient aucune vulnérabilité du système d'authentification Microsoft, «mais abusaient plutôt de la confiance établie entre les composants intégrés».
En outre, bien que l'attaque SolarWinds soit venue via un service cloud de Microsoft, elle impliquait la norme ouverte SAML largement utilisée par les fournisseurs de services cloud, et pas seulement par Microsoft. «Les attaques SolarWinds et ce type d'attaques basées sur SAML contre les services cloud à l'avenir peuvent impliquer des fournisseurs SAML et des fournisseurs de services cloud non Microsoft», a déclaré Budd.
Le renseignement américain voit l'attaque provenir de l'ours douillet de la Russie
Les responsables du renseignement américain pensent que l'attaque est originaire de Russie. Plus précisément, selon un rapport de The Economist, le groupe d'attaquants connu sous le nom de Cozy Bear, censé faire partie des services de renseignement russes, en était responsable. «Il semble que ce soit l'un des actes d'espionnage numérique les plus importants jamais réalisés contre l'Amérique», indique le compte rendu.
L'attaque a démontré «Artisanat opérationnel de premier plan», selon FireEye, une entreprise de cybersécurité qui a elle-même été victime.
L'Amérique a eu tendance à catégoriser et à répondre aux cyber-attaques qui se sont produites au cours de la dernière décennie en fonction des objectifs des attaquants. Il a considéré des intrusions destinées à voler des secrets-espionnage à l'ancienne-comme un jeu équitable dans lequel la National Security Agency des États-Unis est également engagée. Mais les attaques visant à causer des dommages, comme l'attaque de la Corée du Nord contre Sony Pictures en 2014, ou le vol de secrets industriels par la Chine, sont considérées comme franchissant une ligne, selon le récit . Ainsi, des sanctions ont été imposées à de nombreux hackers russes, chinois, nord-coréens et iraniens.
L'attaque Solar Winds semble avoir créé sa propre catégorie. «Cet effort pour imprimer des normes sur une arène secrète et chaotique de la concurrence a échoué», L'économiste ; compte déclaré. «La frontière entre espionnage et subversion est floue.»
Un observateur constate que l'Amérique est devenue moins tolérante à l'égard de «ce qui est autorisé dans le cyberespace» depuis le piratage de l'Officier de la gestion du personnel (OPM) en 2015. Ce piratage a violé les réseaux OPM et exposé les enregistrements de 22.1 millions de personnes liées aux employés du gouvernement, d'autres qui avait subi une vérification des antécédents, des amis et de la famille. Les pirates informatiques parrainés par l'État travaillant pour le compte du gouvernement chinois ont été jugés responsables.
«Un tel espionnage à grande échelle« serait désormais en tête de la liste des opérations qu'ils jugeraient inacceptables », a déclaré Max Smeets du Center of Security Studies de Zurich.
Les logiciels «sur site» considérés comme plus risqués
Le produit SolarWinds Orion est installé «sur site», ce qui signifie qu'il est installé et exécuté sur des ordinateurs dans les locaux de l'organisation utilisant le logiciel. Ces produits comportent des risques de sécurité que les responsables informatiques doivent soigneusement évaluer, a suggéré un compte récent dans e-Semaine.
Les attaquants de SolarWinds ont apparemment utilisé un correctif logiciel compromis pour entrer, a suggéré William White, directeur de la sécurité et de l'informatique de BigPanda, qui propose un logiciel d'intelligence artificielle pour détecter et analyser les problèmes dans les systèmes informatiques. "Avec les logiciels sur site, vous devez souvent accorder des autorisations élevées ou des comptes hautement privilégiés pour que le logiciel s'exécute, ce qui crée des risques », a-t-il déclaré.
Parce que l'attaque SolarWinds a apparemment été exécutée via un correctif logiciel, «Ironiquement, les clients SolarWinds les plus exposés étaient ceux qui étaient réellement diligents pour installer les correctifs Orion», a déclaré White.
Lisez les articles sources dans GeekWire, de The Economist et in e-Semaine.
