« Beaucoup d’annuaires Active Directory autorisés à se connecter à l’extérieur »

Bluecyforce se propose d’entraîner les équipes de cybersécurité, avec des parcours allant de la sensibilisation à la gestion de crise informatique majeure. Et cela en tenant compte de volets aussi variés que la technique, la communication, ou encore la gestion du stress. Et pour mettre en avant son offre, le Français, qui intègre une équipe offensive, dite Red Team, organise des démonstrations d’exercice sur son stand, au Forum International de la Cybersécurité (FIC), qui se déroule actuellement à Lille.

Lors d’une session, c’est l’exemple d’un opérateur d’importance vitale du secteur de la gestion de l’eau qui est pris. Avec une infrastructure complète, depuis le simple serveur Wordpress jusqu’aux systèmes de contrôle industriel ICS/Scada, cachés derrière un pare-feu Stormshield, alimenté par des générateurs de trafic. Le tout supervisé dans un centre opérationnel de sécurité (SOC) équipé, entre autres, de deux systèmes de gestion des informations et des événements de sécurité (SIEM) – Logpoint et Prelude, alimenté notamment par des équipements Palo Alto Networks et le système de prévention d’intrusions Suricata (IPS), ou encore un pare-feu applicatif Web (WAF) DenyAll.

La configuration de l’exercice souligne le déséquilibre entre offense et défense en matière informatique : les attaquants sont trois – mais un seul aurait clairement pu suffire à mener l’opération – quand les défenseurs sont huit. La Red Team cherche à exploiter chaque vulnérabilité au plus vite, avec une furtivité certaines, quand la Blue Team doit se coordonner constamment gérer alertes, investigation, corrélation, communication interne et externe, prises de décision… Le tout sans laisser la pression – croissante alors que la crise se développe – prendre le dessus.

Les attaquants s’appuient sur des outils largement disponibles en ligne, comme WPScan ou Metasploit. Le premier est utilisé pour découvrir d’éventuelles vulnérabilités dans le déploiement Wordpress de la cible. Une vulnérabilité d’un plug-in est exploitée rapidement pour accéder au serveur Web en ligne de commande. Là, c’est une vulnérabilité du noyau Linux qui est mis à profit obtenir des privilèges élevés de niveau root. L’occasion d’attaquer l’annuaire Active Directory (AD) auquel est connecté le serveur de messagerie installé sur le serveur Web.

Les équipes défensives ont entre-temps repéré le trafic suspect visant le serveur Web, aidées par le WAF. Mais bien trop tard. Lorsqu’elles prennent la décision d’arrêter le serveur de messagerie – une décision loin d’être anodine –, les attaquants ont déjà un lien direct vers l’annuaire et en profitent pour continuer de se déplacer dans l’infrastructure. Jusqu’à comprendre un poste d’administration des systèmes ICS/Scada. La bataille est finie et perdue.

Mais comment se fait-il qu’aucun système n’ait alerté sur un trafic éminemment anormal entre l’annuaire et l’extérieur, élément clé du succès de l’opération, malgré les sondes Thales déployées sur sa DMZ, ou encore les outils de Gatewatcher ? Selon un membre de la Red Team, il n’est en fait pas rare de découvrir, en entreprise, des serveurs AD autorisés à communiquer directement avec l’extérieur, notamment pour pouvoir recevoir des mises à jour en l’absence de service WSUS déployé en interne… Une autoroute pour les attaquants.