{"id":454859,"date":"2022-11-09T12:45:49","date_gmt":"2022-11-09T14:45:49","guid":{"rendered":"https:\/\/teknomers.com\/fr\/apt29-a-exploite-une-fonctionnalite-windows-pour-compromettre-le-reseau-des-entites-diplomatiques-europeennes\/"},"modified":"2022-11-09T12:45:50","modified_gmt":"2022-11-09T14:45:50","slug":"apt29-a-exploite-une-fonctionnalite-windows-pour-compromettre-le-reseau-des-entites-diplomatiques-europeennes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/apt29-a-exploite-une-fonctionnalite-windows-pour-compromettre-le-reseau-des-entites-diplomatiques-europeennes\/","title":{"rendered":"APT29 a exploit\u00e9 une fonctionnalit\u00e9 Windows pour compromettre le r\u00e9seau des entit\u00e9s diplomatiques europ\u00e9ennes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>L&#8217;acteur de l&#8217;\u00c9tat-nation APT29 li\u00e9 \u00e0 la Russie a \u00e9t\u00e9 d\u00e9couvert en train d&#8217;exploiter une fonctionnalit\u00e9 Windows &#8220;moins connue&#8221; appel\u00e9e Credential Roaming dans le cadre de son attaque contre une entit\u00e9 diplomatique europ\u00e9enne anonyme.<\/p>\n<p>&#8220;Le ciblage centr\u00e9 sur la diplomatie est conforme aux priorit\u00e9s strat\u00e9giques russes ainsi qu&#8217;au ciblage historique d&#8217;APT29&#8221;, a d\u00e9clar\u00e9 le chercheur Mandiant Thibault Van Geluwe de Berlaere. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/apt29-windows-credential-roaming\" target=\"_blank\">a dit<\/a> dans une r\u00e9daction technique.<\/p>\n<p>APT29, un groupe d&#8217;espionnage russe \u00e9galement appel\u00e9 Cozy Bear, Iron Hemlock et The Dukes, est <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/apt29\" target=\"_blank\">connu<\/a> pour ses intrusions visant \u00e0 recueillir des renseignements conformes aux objectifs strat\u00e9giques du pays.  On pense qu&#8217;il est parrain\u00e9 par le Foreign Intelligence Service (SVR).<\/p>\n<p>Certaines des cyberactivit\u00e9s du collectif contradictoire sont suivies publiquement sous le nom de Nobelium, un groupe de menaces responsable de la compromission g\u00e9n\u00e9ralis\u00e9e de la cha\u00eene d&#8217;approvisionnement via le logiciel SolarWinds en d\u00e9cembre 2020.<\/p>\n<p>La soci\u00e9t\u00e9 de renseignement sur les menaces et de r\u00e9ponse aux incidents appartenant \u00e0 Google a d\u00e9clar\u00e9 avoir identifi\u00e9 l&#8217;utilisation de Credential Roaming pendant la p\u00e9riode o\u00f9 APT29 \u00e9tait pr\u00e9sent dans le r\u00e9seau victime au d\u00e9but de 2022, moment auquel &#8220;de nombreux <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Lightweight_Directory_Access_Protocol\" target=\"_blank\">LDAP<\/a> requ\u00eates avec des propri\u00e9t\u00e9s atypiques&#8221; ont \u00e9t\u00e9 effectu\u00e9es sur le syst\u00e8me Active Directory.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Piratage diplomatique europ\u00e9en\" border=\"0\" data-original-height=\"555\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668005148_855_APT29-a-exploite-une-fonctionnalite-Windows-pour-compromettre-le-reseau.jpg\" title=\"Piratage diplomatique europ\u00e9en\" \/><\/div>\n<p>Introduit dans Windows Server 2003 Service Pack 1 (SP1), Credential Roaming est un <a rel=\"nofollow noopener\" href=\"https:\/\/techcommunity.microsoft.com\/t5\/ask-the-directory-services-team\/certs-on-wheels-understanding-credential-roaming\/ba-p\/395897\" target=\"_blank\">m\u00e9canisme<\/a> qui permet aux utilisateurs de <a rel=\"nofollow noopener\" href=\"https:\/\/social.technet.microsoft.com\/wiki\/contents\/articles\/11483.windows-credential-roaming.aspx\" target=\"_blank\">acc\u00e9der \u00e0 leurs identifiants<\/a> (c&#8217;est-\u00e0-dire, cl\u00e9s priv\u00e9es et certificats) de mani\u00e8re s\u00e9curis\u00e9e sur diff\u00e9rents postes de travail dans un domaine Windows.<\/p>\n<p>En enqu\u00eatant plus en profondeur sur son fonctionnement interne, Mandiant a mis en \u00e9vidence la d\u00e9couverte d&#8217;une vuln\u00e9rabilit\u00e9 d&#8217;\u00e9criture de fichier arbitraire qui pourrait \u00eatre militaris\u00e9e par un acteur malveillant pour r\u00e9aliser l&#8217;ex\u00e9cution de code \u00e0 distance dans le contexte de la victime connect\u00e9e.<\/p>\n<div class=\"ad_two clear\"><img decoding=\"async\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Le-service-de-phishing-de-Robin-Banks-pour-les-cybercriminels.gif\" style=\"float:left\" \/><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La lacune, suivie comme <a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2022-30170\" target=\"_blank\">CVE-2022-30170<\/a>a \u00e9t\u00e9 abord\u00e9 par Microsoft dans le cadre des mises \u00e0 jour du Patch Tuesday exp\u00e9di\u00e9es le 13 septembre 2022, la soci\u00e9t\u00e9 soulignant que l&#8217;exploitation n\u00e9cessite qu&#8217;un utilisateur se connecte \u00e0 Windows.<\/p>\n<p>&#8220;Un attaquant qui parviendrait \u00e0 exploiter la vuln\u00e9rabilit\u00e9 pourrait obtenir des droits de connexion interactive \u00e0 distance sur une machine sur laquelle le compte de la victime ne d\u00e9tiendrait normalement pas un tel privil\u00e8ge&#8221;, a-t-il not\u00e9.<\/p>\n<p>Mandiant a d\u00e9clar\u00e9 que la recherche &#8220;offre un aper\u00e7u de la raison pour laquelle APT29 interroge activement les attributs LDAP associ\u00e9s dans Active Directory&#8221;, exhortant les organisations \u00e0 appliquer les correctifs de septembre 2022 pour se prot\u00e9ger contre la faille.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/apt29-exploited-windows-feature-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;acteur de l&#8217;\u00c9tat-nation APT29 li\u00e9 \u00e0 la Russie a \u00e9t\u00e9 d\u00e9couvert en train d&#8217;exploiter une fonctionnalit\u00e9 Windows &#8220;moins connue&#8221; appel\u00e9e Credential Roaming dans le cadre de son attaque contre une entit\u00e9 diplomatique europ\u00e9enne anonyme. &#8220;Le ciblage centr\u00e9 sur la diplomatie est conforme aux priorit\u00e9s strat\u00e9giques russes ainsi qu&#8217;au ciblage historique d&#8217;APT29&#8221;, a d\u00e9clar\u00e9 le chercheur [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":454860,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[123151,4168,76338,4158,4165,4161,133,1177,32776,2716,7727,13357,4157,4159,4171,4170,4167,4160,4163,4162,185,4810,4172,4169,196,4166,4164,45020],"class_list":["post-454859","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apt29","tag-comment-pirater","tag-compromettre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-diplomatiques","tag-entites","tag-europeennes","tag-exploite","tag-fonctionnalite","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-reseau","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/454859","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=454859"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/454859\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/454860"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=454859"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=454859"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=454859"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}