Dans le paysage en constante évolution de la cybersécurité, les attaquants sont toujours à la recherche de vulnérabilités et d’exploits au sein des environnements organisationnels. Ils ne ciblent pas uniquement des faiblesses isolées ; ils sont à la recherche de combinaisons d’expositions et de méthodes d’attaque qui peuvent les mener à l’objectif souhaité.
Malgré la présence de nombreux outils de sécurité, les organisations doivent souvent faire face à deux défis majeurs : Premièrement, ces outils n’ont souvent pas la capacité de hiérarchiser efficacement les menaces, laissant les professionnels de la sécurité dans l’ignorance quant aux problèmes nécessitant une attention immédiate. Deuxièmement, ces outils ne parviennent souvent pas à fournir un contexte sur la manière dont les problèmes individuels se présentent et sur la manière dont les attaquants peuvent les exploiter pour accéder aux ressources critiques. Ce manque de compréhension peut conduire les organisations à tenter de tout réparer ou, plus dangereusement, à ne rien régler du tout.
Dans cet article, nous examinons 7 scénarios d’attaque réels que nos experts internes ont rencontrés lors de l’utilisation de Plateforme de gestion de l’exposition de XM Cyber dans les environnements hybrides des clients tout au long de 2023. Ces scénarios offrent des informations précieuses sur la nature dynamique et en constante évolution des cybermenaces.
Des chemins d’attaque complexes qui nécessitent plusieurs étapes à ceux d’une simplicité alarmante ne nécessitant que quelques étapes, nos recherches révèlent une réalité stupéfiante : 75 % des actifs critiques d’une organisation peut être compromis dans leur état de sécurité actuel. Plus déconcertant encore, 94 % de ces actifs critiques peuvent être compromis en quatre étapes ou moins à partir du point de violation initial. Cette variabilité souligne la nécessité de disposer des outils appropriés pour anticiper et contrecarrer efficacement ces menaces.
Maintenant, sans plus tarder, explorons ces voies d’attaque réelles et les leçons qu’elles nous enseignent.
Histoire n°1
Client: Une grande société financière.
Scénario: Appel client courant.
Chemin d’attaque : Exploiter les diffusions DHCP v6 pour exécuter une attaque Man-in-the-Middle, compromettant potentiellement environ 200 systèmes Linux.
Impact: Compromission de nombreux serveurs Linux avec potentiel d’exfiltration de données ou d’attaques contre rançon.
Correction : Désactivation de DHCPv6 et correction des systèmes vulnérables, ainsi que formation des développeurs sur la sécurité des clés SSH.
Dans ce scénario, une grande société financière était confrontée à la menace d’une attaque de l’homme du milieu en raison de diffusions DHCP v6 non sécurisées. L’attaquant aurait pu exploiter cette vulnérabilité pour compromettre environ 200 systèmes Linux. Cette compromission aurait pu entraîner des violations de données, des attaques par rançon ou d’autres activités malveillantes. La correction impliquait la désactivation de DHCPv6, l’application de correctifs aux systèmes vulnérables et l’amélioration de la formation des développeurs sur la sécurité des clés SSH.
Histoire n°2
Client: Une grande agence de voyage.
Scénario: Intégration des infrastructures post-fusion.
Chemin d’attaque : Serveur négligé avec des correctifs non appliqués, notamment PrintNightmare et EternalBlue, compromettant potentiellement les actifs critiques.
Impact: Risque potentiel pour les actifs critiques.
Correction : Désactivation du serveur inutile, réduisant ainsi le risque global.
Dans ce scénario, une grande agence de voyages, suite à une fusion, n’a pas réussi à appliquer les correctifs critiques sur un serveur négligé. Cet oubli les a rendus vulnérables à des vulnérabilités connues telles que PrintNightmare et EternalBlue, mettant potentiellement en danger des actifs critiques. La solution était cependant relativement simple : désactiver le serveur inutile pour réduire le risque global.
Histoire n°3
Client: Un grand prestataire de soins de santé.
Scénario: Appel client courant.
Chemin d’attaque : Une voie d’attaque exploitant les autorisations de groupe d’utilisateurs authentifiés pour potentiellement accorder un accès administrateur de domaine.
Impact: Compromis complet de domaine.
Correction : Suppression rapide des autorisations pour modifier les chemins.
Dans ce scénario, un grand prestataire de soins de santé était confronté à la perspective alarmante d’une voie d’attaque exploitant les autorisations de groupe d’utilisateurs authentifiés, accordant potentiellement un accès administrateur de domaine. Une action rapide était impérative, impliquant la suppression rapide des autorisations de modification des chemins.
Histoire n°4
Client: Une institution financière mondiale.
Scénario: Appel client courant.
Chemin d’attaque : Chemin complexe impliquant des comptes de service, des ports SMB, des clés SSH et des rôles IAM, avec le potentiel de compromettre les actifs critiques.
Impact: Potentiellement désastreux si exploité.
Correction : Suppression rapide des clés SSH privées, réinitialisation des autorisations des rôles IAM et suppression des utilisateurs.
Dans ce scénario, une institution financière mondiale était confrontée à un chemin d’attaque complexe exploitant les comptes de service, les ports SMB, les clés SSH et les rôles IAM. Le potentiel de compromission d’actifs critiques paraissait important. Une correction rapide était nécessaire, impliquant la suppression des clés SSH privées, la réinitialisation des autorisations des rôles IAM et la suppression des utilisateurs.
Histoire n°5
Client: Une entreprise de transport en commun.
Scénario: Réunion d’intégration.
Chemin d’attaque : Chemin direct depuis un serveur DMZ vers une compromission de domaine, conduisant potentiellement à une compromission du contrôleur de domaine.
Impact: Compromission potentielle de l’ensemble du domaine.
Correction : Restriction des autorisations et suppression des utilisateurs.
Dans ce scénario, une entreprise de transport public a découvert un chemin direct depuis un serveur DMZ vers une compromission de domaine, ce qui aurait pu finalement conduire à la compromission de l’ensemble du domaine. Une remédiation immédiate était cruciale, impliquant la restriction des autorisations et la suppression des utilisateurs.
Histoire n°6
Client: Un hôpital fortement axé sur la sécurité.
Scénario: Appel client courant.
Chemin d’attaque : Mauvaise configuration d’Active Directory permettant à tout utilisateur authentifié de réinitialiser ses mots de passe, créant ainsi une large surface d’attaque.
Impact: Rachats de comptes potentiels.
Correction : Renforcement de la sécurité d’Active Directory et plan de remédiation complet.
Ce scénario a dévoilé la vulnérabilité d’un hôpital due à une mauvaise configuration d’Active Directory. Cette mauvaise configuration a permis à tout utilisateur authentifié de réinitialiser ses mots de passe, augmentant ainsi considérablement la surface d’attaque. La remédiation a nécessité le renforcement de la sécurité d’Active Directory et la mise en œuvre d’un plan de remédiation complet.
Histoire n°7
Client: Une importante entreprise de transport et de logistique.
Scénario: Appel client courant.
Chemin d’attaque : Un chemin d’attaque complexe depuis un poste de travail vers Azure, compromettant potentiellement l’ensemble de l’environnement de l’entreprise.
Impact: Compromission potentielle de l’ensemble de l’environnement de l’entreprise.
Correction : Ajustements du rôle des utilisateurs et résolution des problèmes.
Dans ce scénario, une grande entreprise de transport et de logistique a découvert une voie d’attaque complexe qui aurait pu permettre aux attaquants de compromettre l’ensemble de l’environnement de l’entreprise. La remédiation a nécessité des ajustements des rôles des utilisateurs et une résolution approfondie des problèmes identifiés.
Le grand plat à emporter
Le fil conducteur de ces scénarios est que chaque organisation avait mis en place des mesures de sécurité robustes, adhérait aux meilleures pratiques et pensait comprendre ses risques. Cependant, ils considéraient souvent ces risques de manière isolée, créant ainsi un faux sentiment de sécurité.
Heureusement, ces organisations ont pu acquérir une compréhension contextuelle de leur environnement avec les bons outils. Ils ont appris comment divers problèmes peuvent se croiser et se recoupent et ont ainsi priorisé les mesures correctives nécessaires, pour renforcer leur posture de sécurité et atténuer efficacement ces menaces.
