Même si les États-Unis ont, au moins temporairement, réduit certaines activités de ce groupe, le risque de systèmes de gestion de terminaux mal configurés reste élevé.
Les États-Unis exhortent les responsables de la sécurité de l’information à renforcer la configuration de leurs systèmes de gestion des terminaux après le piratage la semaine dernière du fournisseur américain de fournitures médicales Stryker par l’acteur menaçant pro-iranien Handala.
L’avertissement de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) s’adresse principalement aux organisations utilisant Microsoft Intune, un service de gestion unifiée des points de terminaison (UEM) basé sur le cloud que Handala, connu pour ses multiples attaques d’effacement destructeur, de vol de données et de fuite de données, aurait été en mesure de compromettre. Mais la CISA a déclaré que les principes défensifs de ses recommandations peuvent être appliqués à n’importe quel logiciel de gestion de points finaux.
Problème majeur : la résistance au phishing
L’avis du CISA est certainement « opportun et approprié », a déclaré Johannes Ullrich, doyen de la recherche à l’Institut SANS. « À mon avis, le principal problème est de mettre en œuvre une authentification résistante au phishing » pour protéger les connexions.
« Ce problème va au-delà de la question spécifique de la gestion des appareils mobiles et constitue une priorité des responsables informatiques », a-t-il souligné. « Bien que l’authentification multifacteur résolve de nombreux problèmes, toutes les technologies MFA ne sont pas résistantes au phishing. En particulier, pour les solutions basées sur le cloud, qui sont généralement accessibles à tous, une authentification solide et résistante au phishing est indispensable. »
Les organisations doivent également être prudentes lorsqu’elles inscrivent des appareils personnels dans des solutions de points de terminaison gérées par l’entreprise, a-t-il ajouté. Seuls les appareils appartenant à l’entreprise doivent être inscrits, pour éviter de perturber les appareils personnels, et les appareils inscrits doivent être dédiés aux activités de l’entreprise.
Renforcement des systèmes de gestion des points de terminaison
CISA conseille aux responsables informatiques de :
- utiliser les principes d’accès au moindre privilège lors de la conception de rôles administratifs pour les systèmes de gestion des points de terminaison. Pour les systèmes Intune, il existe un contrôle d’accès basé sur les rôles qui limite les actions qu’un rôle peut entreprendre, les utilisateurs auxquels les actions sont appliquées et les appareils couverts ;
- appliquez une authentification multifacteur (MFA) résistante au phishing et une hygiène des accès privilégiés. Les utilisateurs d’Intune et autres peuvent profiter des fonctionnalités de Microsoft Entra ID, notamment l’accès conditionnel, l’authentification multifacteur, les signaux de risque et les contrôles d’accès privilégiés pour bloquer l’accès non autorisé à Intune ;
- configurez les politiques d’accès pour exiger l’approbation de plusieurs administrateurs pour accéder aux systèmes de gestion des points de terminaison et y apporter des modifications.
CISA renvoie également les administrateurs Intune à ces documents Microsoft : Meilleures pratiques pour sécuriser Microsoft Intune ; Utilisez les politiques d’accès pour mettre en œuvre l’approbation multi-administrateur, configurez Microsoft Intune pour une sécurité accrue ; Contrôle d’accès basé sur les rôles (RBAC) avec Microsoft Intune et planifiez un déploiement de gestion des identités privilégiées.
Michael Smith, directeur technique de DigiCert, a noté que même si l’avertissement CISA s’applique spécifiquement à Microsoft Intune, de nombreux produits similaires s’exécutent en tant qu’administrateur sur les points de terminaison. Ceux-ci nécessitent des privilèges élevés car ils apportent des modifications sur le point final, ce qui en fait de puissants outils pour l’informatique. Cependant, a-t-il ajouté, cela en fait également une cible. Toute compromission de ces produits pourrait entraîner une compromission des points finaux qu’ils gèrent.
Le pouvoir de créer des « dommages irréversibles »
Stryker a déclaré que l’attaque du 11 mars avait perturbé le traitement des commandes, la fabrication et l’expédition. Cependant, Handala affirme avoir également pu effacer à distance des milliers d’appareils d’employés.
Dans une mise à jour du 15 mars, Stryker a déclaré que toutes les technologies connectées, numériques et vitales utilisées par les clients restaient sûres à utiliser. « Cet événement était limité à l’environnement Microsoft interne de Stryker et, par conséquent, il n’a affecté aucun de nos produits, connectés ou non », indique le communiqué. Aucun ransomware ou malware n’a été déployé, a ajouté la société.
Lors de l’incident de Stryker, les attaquants ont détourné un outil auquel les entreprises font confiance au quotidien et l’ont utilisé pour arrêter les opérations à l’échelle mondiale, a commenté Ismael Valenzuela, vice-président du renseignement sur les menaces chez Arctic Wolf. « En abusant de Microsoft Intune, ils ont pu effacer à distance plus de 200 000 appareils dans 79 pays. La leçon est claire : aucune connexion ne devrait jamais avoir le pouvoir de causer des dommages irréversibles », a-t-il déclaré.
« Les opérations administratives destructrices telles que l’effacement des appareils, les modifications massives des politiques ou les mises à jour à l’échelle du locataire doivent nécessiter plusieurs approbations », a-t-il ajouté. « Aucune session, aucun identifiant ou aucun rôle ne devrait être en mesure de prendre des mesures destructrices à grande échelle sans autorisation indépendante. Les organisations devraient immédiatement verrouiller les outils de gestion des points de terminaison en limitant étroitement l’accès des administrateurs, en appliquant les approbations multipartites et en surveillant en permanence les activités privilégiées afin que les plateformes de confiance ne deviennent pas des points de défaillance uniques. «
La gestion des terminaux, une cible de grande valeur
Robert Beggs, directeur de la société canadienne de réponse aux incidents Digital Defence, a déclaré que les systèmes de gestion des points de terminaison ont toujours été des cibles de grande valeur car ils sont universellement fiables et diffusent des configurations, des scripts et des actions à distance sur l’ensemble d’un réseau informatique.
« Bien que l’incident de Stryker témoigne d’exploits de l’application Microsoft Intune, des produits similaires ont été ciblés dans le passé, notamment SolarWinds Orion (2020), Kaseya VSA (2021) et l’interface de gestion Microsoft Exchange (2021) », a-t-il souligné. « Toutes ces attaques démontrent que les acteurs malveillants reconnaissent l’intérêt d’attaquer les contrôles avec les clés du royaume, plutôt que de s’en prendre aux systèmes individuels. »
Il a déclaré que les défenses suivantes contre ce type d’attaque sont fréquemment citées par les experts : recourir au moindre privilège et à la double approbation pour les actions majeures, garantir que des contrôles d’identité stricts sont en place, recourir à la micro-segmentation et surveiller les actions administratives inhabituelles.
La surveillance de l’activité administrative est particulièrement critique avec ce type d’attaques, a ajouté Beggs : « Recherchez des activités telles que des actions administratives en dehors des heures d’ouverture, ou à partir d’emplacements ou d’adresses IP inhabituels », a-t-il déclaré. « Validez la création de nouveaux rôles d’administrateur ou de privilèges élevés. Et basez les activités normales des administrateurs afin que vous puissiez identifier les administrateurs effectuant des tâches qu’ils ne font habituellement pas. «
Étant donné que les systèmes de gestion des points de terminaison peuvent appliquer des modifications à des milliers d’appareils à la fois, un déploiement de script inattendu pourrait créer de nouveaux profils de configuration ou exécuter des actions inattendues pour désactiver les défenses ou déployer du contenu malveillant, a-t-il noté. Les signes de compromission incluent la désactivation de MFA, la suppression des contrôles de sécurité, la suppression des outils de surveillance, les modifications apportées aux contrôles d’accès au réseau et la modification des paramètres de journalisation.
« La question la plus importante est de savoir à quelle vitesse pouvez-vous identifier ces actions », a-t-il déclaré, « et êtes-vous prêt à vous en remettre ? »
Deux sites de Handala saisis
Jeudi, des chercheurs de Flashpoint ont confirmé que le FBI avait saisi deux sites Web Handala utilisés à des fins de propagande et de diffusion de données volées. Un site publie désormais une déclaration indiquant que le domaine a été saisi en vertu d’une décision d’un tribunal américain. Flashpoint pense que Handala est associé au régime iranien et n’est pas un acteur indépendant.
