Sophos : RDP impliqué dans 95 % des cyberattaques au premier semestre 2023

Selon un nouveau rapport de Sophos, les attaquants ciblent toujours plus en plus les environnements Active Directory et le protocole de déport d’affichage RDP, en rendant plus que jamais essentielle la sécurisation.

Dans un article de blog, le CTO terrain de Sophos, John Shier, a partagé des données provenant de cas de réponse à incident (IR) du premier semestre 2023. Selon le rapport semestriel de Sophos, le rançongiciel demeure le type d’attaque numéro un. Et sans trop de surprise, la compromission des environnements Active Directory et le détournement de services RDP surviennent régulièrement.

Au cours du premier semestre 2023, les adversaires ont exploité le RDP dans 95 % des attaques traitées, une augmentation contre 88 % en 2022. Sophos exhorte les entreprises à sécuriser leurs services RDP, ce qui, selon John Shier, « aura probablement un impact notable ».

Il concède qu’il y a eu des améliorations au fil des ans, du côté des défenseurs, mais certains aspects du RDP continuent d’en faire une cible attrayante. Pour commencer, il est préinstallé sur la plupart des systèmes d’exploitation Windows. Cependant, Tiago Henriques, vice-président de la recherche chez Coalition, a souligné que Microsoft ne configure pas RDP avec une protection contre les attaques par force brute par défaut. Historiquement, du moins – cela change avec Windows 11.

Mais une augmentation du nombre d’identifiants compromis avec succès a également favorisé la croissance observée. Selon Sophos, pour la première fois, les identifiants compromis sont passés devant l’exploitation d’une vulnérabilité comme vecteur d’intrusion initial. Au cours du premier semestre 2023, les identifiants compromis représentaient 50 % des cas traités, contre 23 % pour l’exploitation d’une vulnérabilité.

À cela s’ajoute un manque de mise en œuvre de l’authentification à facteurs multiples (MFA), malgré l’insistance continue de l’industrie de la cybersécurité et le fait qu’elle soit obligatoire pour obtenir une police d’assurance cyber. D’après Sophos, la MFA n’était pas déployée dans 39 % des cas de réponse à incident de la première moitié de 2023.

« Combiné au fait que l’utilisation de données d’identification compromises est monnaie courante et que l’authentification à un seul facteur est la norme, il n’y a pas de mystère à ce que les attaquants adorent [RDP] », écrit John Shier dans le rapport.

La manière dont les attaquants ont utilisé RDP était également remarquable. Dans 77 % des incidents où RDP est impliqué, il n’a été utilisé que pour l’accès interne et le déplacement latéral – une augmentation significative par rapport à 65 % en 2022, selon le rapport.

La compromission de l’environnement Active Directory (AD) est, quant à elle, une constante. Cette année, Sophos a analysé le délai entre intrusion et compromission de l’AD. Au premier semestre, le délai médian s’est établi à 0,68 jour, soit environ 16 heures. Pour une attaque complète, le délai médian était de huit jours, en baisse par rapport aux dix jours en 2022.

« Pensez aux implications. Une fois que vous êtes sur le serveur Active Directory, vous pouvez tout faire, car vous avez accès à l’actif le plus privilégié et puissant de l’entreprise », rappelle John Shier.

Cela peut recouvrir le détournement de comptes à privilèges, la création de nouveaux comptes ou la désactivation de comptes légitimes. L’Active Directory peut également être détourné comme une source de confiance pour le déploiement de logiciels malveillants ou un endroit pour se cacher.

Pour John Shier, de nombreux serveurs environnements Active Directory sont insuffisamment protégés. Dans un cas, Sophos a découvert qu’une organisation avait exposé par erreur son serveur AD directement sur Internet.

« Au cours de nos enquêtes, nous constatons que la plupart des serveurs AD ne sont protégés qu’avec Microsoft Defender, ou parfois pas du tout », indique le rapport de l’éditeur

Qui plus est, Sophos a découvert que les adversaires sont devenus « très habiles » pour désactiver Defender – une tendance que le fournisseur a observée depuis 2021. Une demi-surprise alors qu’il ne semble pas particulièrement efficace contre certaines menaces, à commencer par les infostealers.

John Shier souligne que disposer d’une télémétrie complète est crucial à la fois pour la défense et lors des réponses à incident. Les budgets insuffisants peuvent contribuer à un manque d’outils appropriés, mais il existe certaines atténuations à prioriser. Par exemple, les entreprises devraient exiger que l’utilisation de RDP soit « nécessaire, limitée et auditée » et mettre en œuvre une authentification à facteurs multiples (MFA) à travers l’organisation.