L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a révélé que l’environnement réseau d’une organisation gouvernementale anonyme a été compromis via un compte administrateur appartenant à un ancien employé.
« Cela a permis à l’acteur malveillant de s’authentifier avec succès auprès d’un point d’accès interne à un réseau privé virtuel (VPN), » l’agence dit dans un avis conjoint publié jeudi aux côtés du Centre multi-États de partage et d’analyse d’informations (MS-ISAC).
« L’acteur menaçant lié au [virtual machine] via le VPN de la victime dans le but de se fondre dans le trafic légitime pour échapper à la détection. »
On soupçonne que l’acteur malveillant a obtenu les informations d’identification à la suite d’une violation de données distincte, car les informations d’identification sont apparues sur des canaux accessibles au public contenant des informations de compte divulguées.
Le compte administrateur, qui avait accès à un serveur SharePoint virtualisé, a également permis aux attaquants d’accéder à un autre ensemble d’informations d’identification stockées sur le serveur, qui disposait de privilèges administratifs à la fois sur le réseau sur site et sur Azure Active Directory (maintenant appelé Microsoft Entra ID). ).
Cela a en outre permis d’explorer l’environnement sur site de la victime et d’exécuter diverses requêtes LDAP (Lightweight Directory Access Protocol) sur un contrôleur de domaine. Les attaquants à l’origine de cette activité malveillante sont actuellement inconnus.
Une enquête plus approfondie sur l’incident n’a révélé aucune preuve que l’adversaire s’est déplacé latéralement de l’environnement sur site vers l’infrastructure cloud Azure.
Les attaquants ont finalement accédé aux informations sur l’hôte et l’utilisateur et ont publié les informations sur le Web sombre pour un gain financier probable, note le bulletin, incitant l’organisation à réinitialiser les mots de passe de tous les utilisateurs, à désactiver le compte administrateur et à supprimer les privilèges élevés pour le deuxième compte. .
Il convient de souligner qu’aucun des deux comptes n’avait activé l’authentification multifacteur (MFA), soulignant la nécessité de sécuriser les comptes privilégiés qui accordent l’accès aux systèmes critiques. Il est également recommandé de mettre en œuvre le principe du moindre privilège et de créer des comptes d’administrateur distincts pour segmenter l’accès aux environnements sur site et cloud.
Cette évolution est le signe que les acteurs malveillants exploitent des comptes valides, y compris ceux appartenant à d’anciens employés qui n’ont pas été correctement supprimés d’Active Directory (AD), pour obtenir un accès non autorisé aux organisations.
« Les comptes, logiciels et services inutiles dans le réseau créent des vecteurs supplémentaires permettant à un acteur malveillant de compromettre », ont déclaré les agences.
« Par défaut, dans Azure AD, tous les utilisateurs peuvent enregistrer et gérer tous les aspects des applications qu’ils créent. Ces paramètres par défaut peuvent permettre à un acteur malveillant d’accéder à des informations sensibles et de se déplacer latéralement dans le réseau. De plus, les utilisateurs qui créent un Azure AD deviennent automatiquement l’administrateur global de ce locataire. Cela pourrait permettre à un acteur malveillant d’élever ses privilèges pour exécuter des actions malveillantes.