Surface d’attaque exposée : que surveiller et pourquoi ?

Quelques points d’entrée principaux

Deux grandes familles de systèmes accessibles sur Internet sont particulièrement susceptibles d’être compromises par des attaques : ceux qui exposent ou fournissent des services d’accès distant et des services réseau ; ceux qui supportent des services applicatifs.

Parmi les premiers, on compte les serveurs VPN, mais également les hôtes permettant d’accéder à des postes de travail virtuels (VDI) ou ceux exposant des services de déport d’affichage (RDP), mais également des services de partage de fichiers (SMB) ou de contrôle à distance (Telnet, SSH).

Du côté des seconds, il faut considérer notamment les serveurs de bases de données, les applications métiers, les environnements de conteneurs, les espaces de stockage cloud, etc.

Vulnérabilités non corrigées

Ces éléments constitutifs de la surface d’attaque exposée peuvent être exploités de diverses manières par des assaillants. L’une de celles qui ont le plus fait parler d’elles au cours des trois dernières années est l’existence de vulnérabilités pour lesquelles les correctifs disponibles n’ont pas été appliqués.

De nombreuses attaques avec ransomware ont été entamées de la sorte ; quitte à survenir longtemps après l’application des correctifs, les assaillants s’étant ménagé des capacités de persistance. La Cisa tient à jour une liste de plus de 700 vulnérabilités régulièrement exploitées dans le cadre de cyberattaques.

Un contrôle d’accès trop léger

Les cyberdélinquants ne manquent pas non plus d’exploiter l’absence de mécanismes rigoureux de gestion de l’authentification. Les services RDP accessibles directement sur Internet, sans authentification au niveau de la couche réseau, sont ainsi régulièrement compromis.

Mais cela vaut aussi pour tout service réseau non protégé contre les tentatives automatisées de connexion à l’aide de listes de mots de passe, ou sans authentification à facteurs multiples (MFA).

Accessoirement, si la gestion des droits associés aux comptes des utilisateurs ne relève pas de la surface d’attaque exposée, un manque de rigueur dans celle-ci peut considérablement simplifier la tâche des attaquants après acquisition d’un accès initial.

Défauts de configuration

À cela s’ajoute le déploiement de systèmes et services, sur site ou en mode cloud, sans effort de durcissement de la configuration. Ce qui peut aller jusqu’à laisser des comptes et mots de passe présents par défaut, en sortie d’usine, actifs sur le système considéré. De quoi ouvrir un boulevard aux assaillants.

Enfin, et c’est peut-être le moins évident, la configuration DNS des domaines utilisés par l’entreprise mérite une étroite surveillance. Nous avons déjà observé des cas où les enregistrements DNS permettaient de retrouver directement le serveur de messagerie et, ainsi, de contourner le service de protection contre le phishing. Et cela également pour des configurations hybrides d’Exchange avec les services cloud de Microsoft.

La surveillance de la surface d’attaque exposée vise à détecter ces faiblesses susceptibles d’être exploitées dans le cadre de cyberattaques, pour aider à les corriger. Et cela, qu’il s’agisse de systèmes et services déployés et administrés par l’entreprise, ou… par des utilisateurs qui auraient par exemple décidé de s’installer un NAS sur le réseau de l’entreprise et de faire en sorte de pouvoir y accéder de l’extérieur.