Microsoft a averti que le groupe de pirates à l’origine de l’attaque de la chaîne d’approvisionnement SolarWinds de 2020 dispose d’une nouvelle technique pour contourner l’authentification dans les réseaux d’entreprise.
L’astuce, une capacité hautement spécialisée que Microsoft appelle « MagicWeb », permet aux acteurs de garder une position ferme dans un réseau même si les défenseurs tentent de les éjecter.
Cependant, contrairement aux attaques passées du groupe, que Microsoft suit sous le nom de Nobelium, ils n’utilisent pas d’attaques de la supply chain pour déployer MagicWeb, mais abusent plutôt des identifiants d’administrateur.
Nobelium reste « hautement actif »
Les États-Unis et le Royaume-Uni affirment que les acteurs de Nobelium appartiennent à l’unité de piratage du Service russe de renseignement extérieur (SVR). Les acteurs de Nobelium ont mené plusieurs attaques de la supply chain très médiatisées depuis la compromission des systèmes de construction de logiciels de SolarWinds fin 2020. Cette attaque a compromis 18 000 cibles, dont plusieurs agences et entreprises technologiques américaines, notamment Microsoft.
Depuis lors, Microsoft et d’autres entreprises de sécurité ont identifié plusieurs outils sophistiqués, tels que des portes dérobées, utilisés par Nobelium – et MagicWeb est le dernier en date. MagicWeb cible les systèmes d’identité d’entreprise, à savoir les services de fédération Active Directory (AD FS), c’est-à-dire les serveurs AD sur site par opposition à Azure Active Directory dans le cloud. Par conséquent, Microsoft recommande d’isoler AD FS et d’en restreindre l’accès.
Microsoft souligne que Nobelium reste « hautement actif ». En juillet dernier, Microsoft a révélé avoir trouvé un logiciel malveillant voleur d’informations de Nobelium sur le PC de l’un de ses agents d’assistance, qui a ensuite été utilisé pour lancer des attaques sur d’autres personnes. Les acteurs de Nobelium ont également usurpé l’identité de l’USAID, l’Agence des Etats-Unis pour le développement international, dans des campagnes de spear-phishing.
Manipulation des certificats d’authentification
En octobre, Microsoft a attiré l’attention sur les attaques de Nobelium contre des revendeurs de logiciels et de services en cloud, abusant une fois de plus de la confiance entre fournisseur et client pour exploiter un accès direct aux systèmes informatiques des clients.
Un mois avant les attaques contre les revendeurs de services en cloud, Microsoft a exposé un outil Nobelium appelé « FoggyWeb », une porte dérobée post-compromission qui recueille des informations à partir d’un système de gestion de contenu afin d’obtenir des certificats de signature et de chiffrement de jetons et de déployer des logiciels malveillants.
MagicWeb emploie des méthodes similaires en ciblant AD FS, mais Microsoft affirme qu’il « va au-delà des capacités de collecte de FoggyWeb en facilitant directement l’accès secret. »
« MagicWeb est une DLL malveillante qui permet de manipuler les revendications transmises dans les jetons générés par un serveur AD FS. Il manipule les certificats d’authentification des utilisateurs utilisés pour l’authentification, et non les certificats de signature utilisés dans des attaques comme Golden SAML. »
SAML fait référence au « Security Assertion Markup Language », qui utilise des certificats x509 pour établir des relations de confiance entre les fournisseurs d’identité et les services et pour signer et déchiffrer les jetons, explique Microsoft.
Des attaques très ciblées, selon les experts de Redmond
Avant de déployer MagicWeb, les acteurs ont eu accès à des informations d’identification hautement privilégiées, puis se sont déplacés latéralement sur le réseau pour obtenir des droits d’administration.
« Il ne s’agit pas d’une attaque de la chaîne d’approvisionnement », souligne Microsoft. « L’attaquant disposait d’un accès administrateur au système AD FS et a remplacé une DLL légitime par sa propre DLL malveillante, provoquant le chargement du malware par AD FS au lieu du binaire légitime. »
Les équipes de sécurité de la société de Redmond – MSTIC de Microsoft, Microsoft 365 Defender Research et Microsoft Detection and Response Team (DART) – ont trouvé MagicWeb sur les systèmes d’un client. La société estime que MagicWeb est utilisé dans des attaques « hautement ciblées ».
Microsoft recommande aux clients de conserver l’infrastructure AD FS isolée et accessible uniquement par les comptes d’administration dédiés, ou de migrer vers Azure Active Directory.
Microsoft fournit une explication détaillée de la manière dont MagicWeb parvient à contourner l’authentification. L’explication repose sur la compréhension du fonctionnement de l’« authentification basée sur les revendications » d’AD FS. Au lieu d’une authentification unique pour une organisation, AD FS peut utiliser des « revendications » (jetons) pour permettre aux parties externes – clients, partenaires et fournisseurs – de s’authentifier avec une authentification unique.
« MagicWeb s’injecte dans le processus de réclamation pour effectuer des actions malveillantes en dehors des rôles normaux d’un serveur AD FS », explique Microsoft.
Comment protéger l’infrastructure d’identité et d’authentification ?
MagicWeb abuse également des certificats SAML x509 qui « contiennent des valeurs d’utilisation de clé améliorée (EKU) qui spécifient pour quelles applications le certificat doit être utilisé. » Les EKU comportent des valeurs d’identifiant d’objet (OID) pour prendre en charge, par exemple, la connexion par carte à puce. Les organisations peuvent également créer des OID personnalisés pour limiter l’utilisation des certificats.
« Le contournement de l’authentification de MagicWeb provient de la transmission d’un OID d’utilisation de clé améliorée non standard qui est codé en dur dans le malware MagicWeb pendant une demande d’authentification pour un nom d’utilisateur principal spécifié », explique Microsoft.
« Lorsque cette valeur OID unique codée en dur est rencontrée, MagicWeb fait en sorte que la demande d’authentification contourne tous les processus AD FS standard (y compris les vérifications pour l’authentification multifactorielle) et valide les demandes de l’utilisateur. MagicWeb manipule les certificats d’authentification de l’utilisateur utilisés dans les signatures SAML, et non les certificats de signature d’une réclamation SAML utilisés dans des attaques comme Golden SAML. »
Les défenseurs travaillant dans des organisations susceptibles d’être ciblées devraient consulter l’article de blog de Microsoft pour obtenir des conseils sur la manière de renforcer les réseaux et de protéger l’infrastructure d’identité et d’authentification.
Source : ZDNet.com
