peshkova - Fotolia

« Beaucoup d’annuaires Active Directory autorisés à se connecter à l’extérieur »

C’est probablement le premier enseignement à retirer de la démonstration d’exercice cyber organisée au FIC par Bluecyforce.

Bluecyforce se propose d’entraîner les équipes de cybersécurité, avec des parcours allant de la sensibilisation à la gestion de crise informatique majeure. Et cela en tenant compte de volets aussi variés que la technique, la communication, ou encore la gestion du stress. Et pour mettre en avant son offre, le Français, qui intègre une équipe offensive, dite Red Team, organise des démonstrations d’exercice sur son stand, au Forum International de la Cybersécurité (FIC), qui se déroule actuellement à Lille.

Lors d’une session, c’est l’exemple d’un opérateur d’importance vitale du secteur de la gestion de l’eau qui est pris. Avec une infrastructure complète, depuis le simple serveur Wordpress jusqu’aux systèmes de contrôle industriel ICS/Scada, cachés derrière un pare-feu Stormshield, alimenté par des générateurs de trafic. Le tout supervisé dans un centre opérationnel de sécurité (SOC) équipé, entre autres, de deux systèmes de gestion des informations et des événements de sécurité (SIEM) – Logpoint et Prelude, alimenté notamment par des équipements Palo Alto Networks et le système de prévention d’intrusions Suricata (IPS), ou encore un pare-feu applicatif Web (WAF) DenyAll.

La configuration de l’exercice souligne le déséquilibre entre offense et défense en matière informatique : les attaquants sont trois – mais un seul aurait clairement pu suffire à mener l’opération – quand les défenseurs sont huit. La Red Team cherche à exploiter chaque vulnérabilité au plus vite, avec une furtivité certaines, quand la Blue Team doit se coordonner constamment gérer alertes, investigation, corrélation, communication interne et externe, prises de décision… Le tout sans laisser la pression – croissante alors que la crise se développe – prendre le dessus.

Les attaquants s’appuient sur des outils largement disponibles en ligne, comme WPScan ou Metasploit. Le premier est utilisé pour découvrir d’éventuelles vulnérabilités dans le déploiement Wordpress de la cible. Une vulnérabilité d’un plug-in est exploitée rapidement pour accéder au serveur Web en ligne de commande. Là, c’est une vulnérabilité du noyau Linux qui est mis à profit obtenir des privilèges élevés de niveau root. L’occasion d’attaquer l’annuaire Active Directory (AD) auquel est connecté le serveur de messagerie installé sur le serveur Web.

Les équipes défensives ont entre-temps repéré le trafic suspect visant le serveur Web, aidées par le WAF. Mais bien trop tard. Lorsqu’elles prennent la décision d’arrêter le serveur de messagerie – une décision loin d’être anodine –, les attaquants ont déjà un lien direct vers l’annuaire et en profitent pour continuer de se déplacer dans l’infrastructure. Jusqu’à comprendre un poste d’administration des systèmes ICS/Scada. La bataille est finie et perdue.

Mais comment se fait-il qu’aucun système n’ait alerté sur un trafic éminemment anormal entre l’annuaire et l’extérieur, élément clé du succès de l’opération, malgré les sondes Thales déployées sur sa DMZ, ou encore les outils de Gatewatcher ? Selon un membre de la Red Team, il n’est en fait pas rare de découvrir, en entreprise, des serveurs AD autorisés à communiquer directement avec l’extérieur, notamment pour pouvoir recevoir des mises à jour en l’absence de service WSUS déployé en interne… Une autoroute pour les attaquants.

Approfondir

Participer à la conversation

3 commentaires

M'envoyer une notification dès qu'un autre membre commente.

Merci de créer un identifiant pour pouvoir poster votre commentaire.

Bluecyforce propose un concept très intéressant et les démonstrations sont très instructives. Bravo aux partenaires qui se sont prêter au jeu qui démontre qu'un IDS ne suffit pas pour une défense efficace. Cependant, les nouvelles sondes pour les OIV sont vraiment riches en fonctionnalités, en particulier l’impressionnante sonde de Thales qui est très prometteuse... à suivre de près!
Annuler
Votre retranscription est assez fidèle, sauf sur la fin. Dans le mini exercice opéré par Bluecyforce sur le salon, les sondes Thales et Gatewatcher n'étaient pas utilisées en conditions "réelles". Comme l'animateur l'a indiqué, l'ensemble du terrain de jeux était volontairement incomplet lors de l'exercice et ceci afin de laisser la place à la Red Team. 
Annuler
afin de préciser également quelques éléments, seul l'exploitation du noyau linux au travers d'un shellcode a été détecté coté Gatewatcher. Apres effectivement, une fois dans l'AD, le décodage étant impossible, seul un outil intégré à l'AD peut détecter ce type de comportement.  
Annuler

- ANNONCES GOOGLE

Close