La variété des techniques utilisées par les pirates de SolarWinds était sophistiquée, mais à bien des égards, elle était aussi ordinaire et évitable, selon Microsoft. Pour prévenir de futures attaques de même niveau de sophistication, Microsoft recommande aux organisations d’adopter une « mentalité de confiance zéro », qui désavoue l’hypothèse selon laquelle tout ce qui se trouve à l’intérieur d’un réseau informatique est sûr. En d’autres termes, les organisations devraient supposer une violation et vérifier explicitement la sécurité des comptes d’utilisateurs, des terminaux, du réseau et des autres ressources.
Se prémunir des failles du système
Comme le note Alex Weinert, directeur de la sécurité des identités chez Microsoft, dans un billet de blog, les trois principaux vecteurs d’attaque sont les comptes utilisateurs compromis, les comptes fournisseurs compromis et les logiciels fournisseurs compromis.
Des milliers d’entreprises ont été touchées par la brèche de SolarWinds, révélée à la mi-décembre. Les pirates, connus sous le nom de UNC2452/Dark Halo, ont ciblé l’environnement de compilation du logiciel Orion de SolarWinds, altérant le processus lorsqu’un programme est compilé à partir du code source vers un exécutable binaire déployé par les clients.
Le fournisseur de sécurité américain Malwarebytes a révélé hier qu’il était affecté par les mêmes pirates mais pas par les mises à jour d’Orion. Les pirates ont plutôt ouvert une brèche dans Malwarebytes en exploitant des applications ayant un accès privilégié aux infrastructures d’Office 365 et d’Azure, donnant aux attaquants l’accès à un sous-ensemble limité de courriels internes de Malwarebytes.
Un manque de vérification critique
Selon M. Weinert, les attaquants ont exploité les lacunes de la “vérification explicite” dans chacun des principaux vecteurs d’attaque.
« Lorsque des comptes d’utilisateurs ont été compromis, des techniques connues comme la pulvérisation de mots de passe, le phishing ou les logiciels malveillants ont été utilisées pour compromettre les informations d’identification des utilisateurs et ont donné à l’attaquant un accès critique au réseau du client », écrit Weinert.
Il affirme que les systèmes d’identité basés sur le cloud comme Azure Active Directory (Azure AD) sont plus sûrs que les systèmes d’identité sur site, car ces derniers ne disposent pas de protections basées sur le cloud comme la protection par mot de passe d’Azure AD pour éliminer les mots de passe faibles, les récents progrès dans la détection par pulvérisation de mots de passe et l’IA améliorée pour la prévention de la compromission des comptes.
Dans les cas où l’acteur a réussi, Weinert note que les comptes de fournisseurs hautement privilégiés manquaient de protections supplémentaires telles que l’authentification multi-facteurs (AMF), les restrictions de gamme d’IP, la conformité des appareils ou les examens d’accès. Microsoft a constaté que 99,9 % des comptes compromis qu’elle suit chaque mois n’utilisent pas l’AMF.