Cyberattaques : six façons de prévenir l’élévation de privilèges

Types d’élévation de privilèges

Les opérations d’élévation de privilèges se divisent en deux grandes catégories :

• L’élévation de privilèges horizontale. L'attaquant, après avoir réussi à obtenir l'accès à un compte d'utilisateur existant ou un appareil autorisé, utilise ce vecteur pour compromettre un autre compte. Cette tactique ne permet pas nécessairement d'obtenir des privilèges supplémentaires, mais elle peut causer du tort à la nouvelle victime si l’assaillant récolte au passage des données personnelles – entre autres. Les vulnérabilités des sites web peuvent notamment permettre la création de scripts intersites et la falsification de requêtes intersites pour capturer les identifiants de connexion ou les données d'authentification d'un autre utilisateur et accéder à son compte.
• L’élévation verticale des privilèges. Il s'agit généralement de la deuxième phase d'une cyberattaque en plusieurs étapes. Les attaquants cherchent à exploiter les mauvaises configurations du système, les vulnérabilités, les mots de passe faibles et les contrôles d'accès inadéquats pour obtenir des autorisations administratives leur permettant de continuer à accéder à d'autres ressources du réseau. Une fois armés de privilèges plus élevés, les attaquants peuvent installer des logiciels malveillants et des ransomwares, modifier les paramètres du système et voler des données. Ils peuvent même supprimer les traces d’activité afin que leur présence sur le réseau passe inaperçue.

Comment sont conduites ces tentatives d’élévation de privilèges

Les méthodes suivantes sont couramment utilisées par les pirates malveillants pour mener des attaques par escalade de privilèges - les deux premières méthodes sont utilisées dans les attaques par escalade de privilèges horizontale, mais selon l'objectif final de l'attaquant, les comptes compromis peuvent être utilisés pour tenter d'élever les privilèges verticalement.

• Ingénierie sociale. Les attaques par ingénierie sociale – y compris le phishing, le watering hole et le pharming – sont couramment utilisées pour inciter les utilisateurs à divulguer les informations d'identification de leur compte. Avec ces types d'attaques, il n'est pas nécessaire de monter une campagne complexe pour contourner les défenses de sécurité d'un système.
• Informations d'identification faibles. Les mots de passe faibles, réutilisés ou partagés représentent un moyen facile, pour un attaquant, d'obtenir un accès non autorisé à un compte. Si le compte dispose de privilèges administratifs, le réseau risque immédiatement d'être sérieusement compromis.
• Mauvaise configuration du système. Les ressources du réseau dont les paramètres de sécurité n'ont pas été verrouillés, ou durcis, peuvent offrir aux attaquants la possibilité d'obtenir des privilèges plus importants que prévu. Pensez par exemple buckets de stockage Cloud avec accès public. Les défenses réseau mal configurées, telles que les pares-feu et les ports ouverts et non protégés, ainsi que les mots de passe par défaut sur les comptes importants et les valeurs par défaut non modifiées sur les applications nouvellement installées – deux phénomènes particulièrement courants sur les appareils IoT – ouvrent tous une voie pour qu'un attaquant obtienne des privilèges supplémentaires.
• Les logiciels malveillants. Les logiciels malveillants, tels que les infostealers peuvent voler les mots de passe. Là encore, les données collectées, notamment à partir des navigateurs Web, peuvent constituer une porte ouverte additionnelle.
• Les vulnérabilités système. Toute vulnérabilité accessible au public dans la conception, la mise en œuvre ou la configuration d'un système peut donner aux attaquants la possibilité d'obtenir les privilèges d'un compte en exécutant un code malveillant pour obtenir un accès au shell.

6 façons de prévenir une élévation de privilèges

Dans toute cyberattaque, l’élévation de privilèges exploite les vulnérabilités des services et applications exécutés sur un réseau, en particulier ceux dont les contrôles d'accès sont faibles. L'élévation de privilège est une phase clé d'une cyberattaque plus large. Les contrôles de sécurité visant à prévenir ce type d’opération doivent être solides et maintenus de manière régulière.

Voici six bonnes pratiques pour vous aider à assurer la protection de votre réseau.

1. Maintenez les comptes à jour grâce à une gestion complète des comptes à privilèges.L'application du principe du moindre privilège pour limiter les droits d'accès des utilisateurs et des services au strict minimum réduit les chances d'un attaquant d'obtenir des privilèges de niveau administratif. L'équipe de sécurité et les ressources humaines doivent collaborer pour éviter toute dérive inutile des privilèges et veiller à ce que l'inventaire des comptes d'utilisateurs indique avec précision qui, quoi, où et pourquoi un compte existe et les privilèges qui lui ont été accordés. Réduire au minimum le nombre et la portée des comptes à privilèges, tout en surveillant et en enregistrant leurs activités, permet également de repérer tout abus potentiel.
2. Correctifs et mises à jour des logiciels. Réduire les chances qu'un attaquant puisse trouver une vulnérabilité exploitable est le meilleur moyen d'arrêter tout type de cyberattaque. Une politique complète de gestion des correctifs rend plus difficile pour un attaquant de tirer parti des vulnérabilités du système et des applications ; en particulier, maintenez les navigateurs et les logiciels antivirus à jour.
3. Effectuez des analyses de vulnérabilité. En analysant régulièrement les vulnérabilités de tous les composants de l'infrastructure informatique, il est plus difficile pour un attaquant de prendre pied sur le réseau. Les analyses de vulnérabilité permettent de détecter les mauvaises configurations, les modifications non documentées du système, les systèmes d'exploitation et les applications non corrigés ou non sécurisés, ainsi que d'autres failles avant que les attaquants potentiels ne puissent les exploiter.
4. Surveiller le trafic et le comportement réseau. Si un attaquant parvient à obtenir les informations d'identification d'un utilisateur du réseau, sa présence peut passer inaperçue si le réseau n'est pas constamment surveillé pour détecter tout trafic ou comportement inhabituel des utilisateurs. Un logiciel d'analyse du comportement des utilisateurs et des entités (UEBA) peut créer une base de référence du comportement légitime et signaler les activités qui s'écartent de la norme et peuvent trahir une éventuelle compromission.
5. Instaurer une politique de mot de passe forte. Une politique de mots de passe est le moyen le plus efficace de prévenir une élévation de privilèges, en particulier si elle est associée à une authentification à facteurs multiples (MFA). Les outils de gestion des mots de passe peuvent aider les utilisateurs à générer et à stocker en toute sécurité des mots de passe uniques et complexes qui répondent aux règles de la politique de sécurité. Tous les comptes dotés de privilèges administratifs devraient nécessiter une authentification multifactorielle. Les certificats numériques utilisés pour l'authentification des machines doivent faire l'objet d'une rotation régulière.
6. Organiser des formations de sensibilisation à la sécurité. Les personnes sont généralement le maillon le plus faible de la sécurité d'une organisation. Elles peuvent involontairement contribuer à une attaque en utilisant des mots de passe faibles, en cliquant sur des liens ou des pièces jointes malveillants et en ignorant les avertissements concernant les sites web dangereux. Des formations régulières de sensibilisation à la sécurité permettent d'expliquer les nouvelles menaces et de garder les politiques de sécurité bien présentes à l'esprit des utilisateurs. Insistez sur les dangers et les risques liés au partage des comptes et des informations d'identification.

L’élévation de privilèges compte parmi les phases les plus critiques d’une cyberattaque. Un plan de gestion d'incident bien rodé est essentiel. Si un incident d’élévation de privilèges est découvert, le compte compromis doit être rapidement isolé, son mot de passe modifié, puis désactivé. L'équipe de sécurité doit ensuite mener une enquête approfondie pour déterminer l'ampleur de l'intrusion et identifier les ressources compromises.