jeudi, 28 mars 2024

Dans le paysage des menaces de sécurité de Microsoft (et comment vous pouvez protéger votre entreprise)

Au cours des deux dernières années, Microsoft a en fait été confronté à une multitude de nouvelles défavorables concernant une série de vulnérabilités et de piratages. Il n’est pas étonnant que les vulnérabilités des éléments Microsoft constituent un vecteur d’attaque attrayant. Selon un rapport de la Cybersecurity and Facilities Security Agency (CISA), les systèmes Microsoft ont fait l’objet de 238 pénuries de cybersécurité signalées depuis le début de 2022, soit 30 % de toutes les vulnérabilités trouvées jusqu’à présent cette année.

En 2021, de grandes agences comme la National Security Agency (NSA), le FBI, la CISA et la CIA ont détaillé les 15 vulnérabilités et expositions directes (CVE) les plus courantes exploitées par les pirates. Parmi ceux-ci, 60 % (9) étaient dus à des pénuries dans les systèmes développés, exploités et détenus par Microsoft, y compris sept CVE au sein du serveur Exchange de Microsoft.

C’est encore plus alarmant si l’on considère que Microsoft détient une part dominante (85 %) des achats et des systèmes informatiques du gouvernement fédéral américain sur le lieu de travail, ce qui met essentiellement l’ensemble du gouvernement sous la menace d’un piratage.

Microsoft a de nouveau fait la une fin 2021, lorsqu’il a alerté les clients que la plate-forme cloud Azure avait des erreurs de configuration dans un composant qui, autorisé par défaut, avait exposé des données au cours des 2 années précédentes. En conséquence, des milliers de consommateurs qui s’appuient sur Azure Cosmos DB, composé de noms de maison comme Exxon et Coca-Cola, ont été exposés à la possibilité qu’un agresseur puisse lire, composer ou effacer des données sans autorisation.

Les acteurs de la menace ont exploité de nombreuses failles Microsoft et des bogues zero-day qui n’ont pas encore été divulgués, permettant d’exécuter des attaques à distance, selon les affirmations faites par des scientifiques de la cybersécurité vietnamiens. GTSC, qui a initialement identifié et signalé que les ennemis enchaînaient l’ensemble des jours zéro pour déployer des shells Web Chinese Chopper sur des serveurs compromis pour la persistance et le vol de données.

En raison des piratages et des vulnérabilités constants trouvés dans l’écosystème d’articles de Microsoft, d’autres contemporains, tels que Google, seraient désormais en train de dépasser l’espace d’innovation en matière de sécurité. Récemment, lors de son événement Cloud Next ’22, a dévoilé un service de détection rapide des vulnérabilités. L’outil est un service sans configuration dans Security Command Center Premium qui détecte les vulnérabilités telles que les interfaces utilisateur d’administration exposées, les qualifications faibles et les installations d’applications logicielles insuffisantes.

En tant que nom connu et géant de la technologie, d’où vient la cybersécurité de Microsoft les pratiques manquent ? Et à quoi ressemble l’avenir de ces risques ?

Le terrible requin de la vulnérabilité

Au cours des 15 dernières années, Microsoft a fait des progrès dans le renforcement du noyau Windows, le cœur du système d’exploitation (OS) que les pirates doivent réussir à gérer un appareil . L’introduction de nouvelles limitations strictes sur les pilotes du système d’emballage qui pourraient fonctionner en mode noyau était la pierre angulaire de cette avancée.

En février 2019, la société de logiciels SolarWinds a été attaquée par des pirates informatiques présumés d’États-nations appelés Nobelium. Le groupe a accédé à d’innombrables réseaux, systèmes et informations de consommateurs SolarWinds, ce qui a conduit au plus grand piratage jamais enregistré. Suite à une émission unique de Reuters le 17 décembre 2020, il est devenu évident que certaines vulnérabilités spécifiques à Microsoft ont exacerbé les dégâts de l’attaque SolarWinds.

Andrew Grotto, ancien directeur de la politique cybernétique de la Maison Blanche, affirme qu’une partie de ces attaques réside dans un problème de base de code traditionnel.

« Les produits Microsoft nécessitent beaucoup d’efforts pour être configurés correctement et, en raison de ces problèmes de configuration, les produits sont vulnérables à l’exploitation », a-t-il déclaré.

« Pour les systèmes Microsoft utilisés par les clients SolarWinds, les agresseurs se sont enfoncés de plus en plus profondément dans les réseaux de la victime et ont profité des problèmes de configuration des éléments de Microsoft », a déclaré Grotto à VentureBeat.

Ce n’était que le début, car en mars 2021, un groupe de pirates appelé conjointement Hafnium avait la capacité d’exploiter les faiblesses de l’application logicielle Exchange de Microsoft, permettant à Hafnium de prendre le contrôle des serveurs et d’accéder à des informations délicates d’entreprise et détails de l’entreprise gouvernementale.

Le FBI avait besoin de pirater de nombreux serveurs de systèmes informatiques d’entreprises américaines pour se débarrasser du logiciel malveillant Hafnium. Microsoft a lancé un correctif pour réparer 114 vulnérabilités cruciales en avril 2021.

De même, en mars 2022, Microsoft a annoncé qu’il avait été piraté par le groupe de hackers criminels Lapsus$, expliquant que le groupe avait compromis l’un de ses comptes, qui fournissait au groupe un « accès restreint » aux données de l’entreprise. Cependant, la société a nié que le groupe ait obtenu des données sur des consommateurs Microsoft.

La société reconnaîtra plus tard que le groupe a volé des parties du code source lié à certains des produits de Microsoft. Lapsus$ a prétendu avoir obtenu le code source du moteur de recherche en ligne Bing et de l’assistant vocal Cortana. (Néanmoins, Microsoft a affirmé qu’il ne comptait pas sur le secret de son code source comme mesure de sécurité.)

Dan Schiappa, responsable principal des articles chez Arctic Wolf et ancien responsable de la sécurité de Microsoft, a expliqué que le code de Microsoft est souvent un mélange d’ancien et de tout nouveau, ce qui rend beaucoup plus difficile pour eux de s’assurer qu’il n’y a pas de vulnérabilités.

« Je pense qu’il faudra l’environnement de cybersécurité pour aider à protéger la vaste base d’innovation de Microsoft. Microsoft continuera à apporter des modifications incrémentielles pour améliorer sa posture de sécurité, mais je ne pense pas qu’ils feront quoi que ce soit qui réduise considérablement le danger », a-t-il déclaré. « En conséquence, disposer du portefeuille ou du service de sécurité approprié est le meilleur moyen de garantir que la sécurité de Microsoft est couverte. »

Engorgement de l’écosystème de produits Microsoft

En tant que fournisseur commercial dominant sur sur le marché, les acteurs du risque ont en fait travaillé tout le temps pour cibler et utiliser des éléments dans la communauté Microsoft. Voici quelques exemples :

La société de renseignement sur les risques, Cluster25, a récemment signalé qu’APT28 (alias Fancy Bear), une société de risque russe du GRU (Direction principale du renseignement du personnel général russe), utilisait une marque -nouvelle technique pour déployer le malware Graphite dès le 9 septembre.

L’étoile du danger dessine des cibles avec un fichier PowerPoint (.PPT) supposément lié à l’Organisation de coopération et de développement économiques (OCDE), une entité intergouvernementale travaillant à la promotion du progrès économique et du commerce dans le monde entier. À l’intérieur du fichier PPT se trouvent 2 diapositives comprenant des directives en anglais et en français pour l’utilisation de l’option Analyse dans l’application de vidéoconférence Zoom.

Lorsque la victime ouvre le fichier en mode présentation et passe la souris sur le lien, un script PowerShell destructeur est introduit, téléchargeant un fichier JPEG à partir d’un compte Microsoft OneDrive. Le fichier comprend également un lien qui active l’exécution d’un script PowerShell malveillant via l’outil SyncAppvPublishingServer. En conséquence, le logiciel malveillant a la capacité d’utiliser l’API Microsoft Chart et OneDrive sur le système informatique de la victime pour des interactions de commande et de contrôle supplémentaires.

Les serveurs Microsoft SQL vulnérables sont également ciblés dans un tout nouveau vague d’attaques avec le rançongiciel FARGO. Les serveurs MS-SQL sont des systèmes de gestion de bases de données, contenant des données pour les services Web et les applications, que les attaquants ciblent principalement car les perturber peut déclencher des problèmes extrêmes pour l’entreprise. FARGO est l’un des ransomwares les plus populaires se concentrant sur les serveurs MS-SQL, avec GlobeImposter.

Le ransomware FARGO exclut certains logiciels et dossiers du cryptage pour éviter que le système contaminé ne devienne complètement inefficace. Les victimes sont également soumises à un chantage avec le risque de libérer ouvertement le produit pris si les victimes ne payaient pas la rançon.

Il a été découvert plus tard que les vulnérabilités étaient dues à l’utilisation d’informations d’identification faibles et au manque de correctifs de sécurité mis à jour de la part des serveurs victimes, ce qui fait écho aux préoccupations précédentes concernant la difficulté de configuration de Microsoft.

Le système d’exploitation Windows de Microsoft n’est pas loin derrière en matière de problèmes de goulot d’étranglement. Selon les recherches de Lansweeper, seulement 2,6 % des utilisateurs ont mis à jour Windows 11 un an après sa sortie publique préliminaire. Et 42 % des PC ne sont même pas éligibles à la mise à niveau automatique en raison des exigences système strictes de Microsoft. Ce qui laisse les responsables informatiques d’entreprise avoir du mal à mettre à niveau ou à remplacer des millions d’appareils avant 2025, date à laquelle Microsoft a déclaré qu’il cesserait de prendre en charge Windows 10.

Comment les RSSI et les responsables de la sécurité peuvent atténuer les menaces

Selon Steve Benton, vice-président de l’étude de recherche sur les menaces chez Anomali, l’exploitation des vulnérabilités telles qu’elles finissent par être comprises n’est qu’une méthode pour finir, une partie d’une chaîne d’attaque avec plusieurs parties qui doivent réussir .

« La réalité extrême est que nous devons tous accepter le concept selon lequel vous ne devez pas compter sur un produit pour être sûr à 100 % », a déclaré Benton à VentureBeat. « Il est nécessaire d’établir et d’exécuter une stratégie qui met en place une suite de contrôles de sécurité superposés et multicouches. [La méthode devrait être] axée sur les chaînes d’attaque plus larges composées de TTP [stratégies, méthodes et traitements] dirigé par un agresseur avec l’inspiration et les objectifs que vous avez réellement compris grâce à des renseignements pertinents et exploitables. »

Benton suggère que la méthode doit donc être triple :

  • Garantir que vous comprenez votre attaque actifs superficiels et cruciaux et ont en fait publié un ensemble de contrôles de sécurité qui se chevauchent et à plusieurs niveaux. De même, assurez-vous que ces parties sont totalement déployées dans la portée, totalement opérationnelles et surveillées.
  • Garantissez que vous avez spécifié des politiques et des exigences pour tous ces éléments de sorte qu’ils ne exposez les éléments exploitables (c’est-à-dire, ne vous offrez pas à bon marché à un attaquant).
  • Examinez quel type d’acteurs sont susceptibles de vous agresser. Tenez compte de leur motivation ou de leur objectif final et de la manière dont ils pourraient y faire face. Cette intelligence vitale vous permet de hiérarchiser vos ressources pour protéger votre entreprise et vos consommateurs, et d’établir et de maintenir une posture de sécurité dynamique contre les menaces existantes et émergentes qui vous conviennent.

« Avoir une stratégie agressive de gestion des vulnérabilités et des correctifs est la chose la plus importante qu’une organisation puisse faire pour assurer sa sécurité », a déclaré Mike Dausin, directeur de la recherche sur la sécurité et des renseignements sur les dangers chez Alert Logic. « Dans le même temps, il est essentiel d’écouter les signaux produits par vos appareils ; de nombreuses attaques réussies ne sont pas détectées simplement parce que les journaux et les signaux des appareils concernés passent inaperçus. La collecte, le traitement et le suivi de ces signaux sont essentiels pour attraper menaces modernes. »

Ce que l’avenir réserve à Microsoft

Jerrod Piker, expert en veille concurrentielle chez Deep Instinct, a déclaré qu’à mesure que les options logicielles de Microsoft continuent de bénéficier d’une utilisation mondiale répandue dans toutes les entreprises tailles, nous verrons probablement de toutes nouvelles vulnérabilités découvertes à un rythme beaucoup plus rapide qu’à peu près à ce stade.

« Si les vulnérabilités récentes sont une indication, ces exploits continueront de croître en complexité et en échelle », a déclaré Piker.

Piker a déclaré que bien que Microsoft utilise une suite complète d’options de sécurité, il ne semble pas y avoir eu de progrès substantiels dans la protection du processus de développement logiciel lui-même.

« Microsoft a en fait relativement toujours été plus réactif avec les efforts de sécurité, plutôt que de réussir à intégrer la sécurité dans la procédure d’avancement de l’application logicielle. Cela doit changer. Jusqu’à ce qu’un changement total soit fait pour renforcer la sécurité pendant l’étape d’avancement, il est probable que nous ne verrons pas de changement marqué. amélioration de la variété des vulnérabilités découvertes dans les options d’application logicielle Microsoft », a-t-il déclaré.

De même, Grotto pense que les garanties de sécurité ne peuvent être complètement atteintes que si les fonctions de sécurité fondamentales finissent par être standard pour tous les niveaux tarifaires des services cloud de Microsoft.

« Les fonctionnalités de sécurité de base telles que la journalisation des événements et l’exécution de l’authentification multifacteur sont quelques éléments informatiques qui doivent être considérés comme basiques. Malheureusement, ces fonctionnalités de base semblent toujours absentes de l’écosystème cloud de Microsoft », il a déclaré. « Il s’agit d’un inconvénient majeur pour les environnements basés sur le cloud qui atteignent leur plein potentiel, du point de vue de la sécurité. »

La mission de VentureBeat est d’être une place publique numérique pour les technologies décideurs pour mieux comprendre l’innovation et les transactions d’entreprise transformatrices. Découvrez nos Rundowns.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici