Rechercher

Langue

Trois cyberattaques où les comptes de service compromis ont joué un rôle clé

11 Mai 2023

Accueil » Blog » Trois cyberattaques où les comptes de service compromis ont joué un rôle clé

La sécurisation des comptes de service est une tâche notoirement difficile. L'une des principales raisons de cette difficulté est que les comptes de service sont souvent oubliés et laissés sans surveillance. Ainsi, personne ne suit leur utilisation ou ne valide qu'ils ne sont pas compromis et utilisés par des acteurs malveillants.

De plus, avoir une visibilité limitée ou nulle sur ces comptes est un défi majeur lorsqu'il s'agit de sécurisation des comptes de service. Le manque de visibilité sur les comptes de service en fait également une cible attrayante pour les acteurs de la menace. Ces comptes peuvent être utilisés pour obtenir un accès non autorisé à des données, des systèmes et des ressources sensibles et, dans de nombreux cas, se déplacer latéralement dans l'environnement d'une organisation. Les conséquences d'une attaque réussie contre un compte de service peuvent être graves, notamment le vol de données, la compromission du système et même la prise de contrôle complète du réseau.

Dans cet article, nous explorerons les techniques d'attaque spécifiques que les acteurs de la menace utilisent lorsqu'ils ciblent les comptes de service et mettrons en évidence quelques violations de données bien connues où les comptes de service ont été compromis et ont aidé les attaquants à se déplacer latéralement.

Table des matières

  • Méthodes d'attaque utilisées pour compromettre et utiliser les comptes de service
  • Cyberattaques notoires qui ont utilisé des comptes de service compromis
  • Le dénominateur commun : compromission du compte de service
  • Prochaine étape : Sécuriser les comptes de service avec Silverfort

    • Méthodes d'attaque utilisées pour compromettre et utiliser les comptes de service

    Les acteurs menaçants mettent en œuvre différentes techniques pour compromettre et utiliser les comptes de service. Examinons de plus près les plus couramment utilisés attaque basée sur l'identité les méthodes utilisées et la manière dont elles ciblent spécifiquement les comptes de service.

    Brute Force

    Une attaque par force brute est la méthode la plus couramment utilisée par les acteurs de la menace, où des tentatives sont faites pour deviner un mot de passe ou une clé de cryptage en essayant toutes les combinaisons possibles de caractères jusqu'à ce que la bonne soit trouvée. Cette méthode est particulièrement efficace contre les mots de passe faibles ou faciles à deviner. Les auteurs de menaces utilisent généralement des outils automatisés pour essayer rapidement différents mots de passe jusqu'à ce qu'ils en trouvent un qui fonctionne.

    Les acteurs de la menace utilisent souvent des attaques par force brute pour compromettre les comptes de service qui ont des mots de passe faibles ou aucune politique de mot de passe, essayant parfois également de contourner les mesures de sécurité en place pour se protéger contre ces types d'attaques.

    Kerberasting

    Une attaque Kerberoasting est un type d'attaque qui cible le Kerberos protocole d'authentification pour obtenir le hachage du mot de passe d'un utilisateur Active Directory avec des valeurs de nom principal de service (SPN), telles que des comptes de service.

    L'auteur de la menace identifie d'abord les utilisateurs ciblés auxquels sont associés des SPN. Ils demandent ensuite un ticket de service Kerberos pour un SPN spécifique associé à un compte utilisateur. Le ticket de service est chiffré à l'aide du hachage de l'utilisateur. Ensuite, l'auteur de la menace est alors en mesure d'obtenir le hachage lui-même via un craquage hors ligne et de reproduire le mot de passe original en clair.

    Les comptes de service sont souvent ciblés car ils sont souvent associés à des SPN, qui peuvent ensuite être utilisés pour demander des tickets de service pour d'autres. des comptes d'utilisateurs ou administrateurs.

    Passe-le-hachage

    Dans une attaque pass-the-hash, l'auteur de la menace peut utiliser un hachage de mot de passe pour effectuer une authentification NTLM auprès d'autres systèmes ou services sur le réseau sans avoir besoin de connaître le mot de passe réel.

    Pour mener une attaque pass-the-hash, l'auteur de la menace obtient d'abord le hachage du mot de passe du compte de service soit en l'extrayant de la mémoire d'un point de terminaison compromis, soit en interceptant le trafic d'authentification du compte de service.

    Cyberattaques notoires qui ont utilisé des comptes de service compromis

    Ces dernières années, il y a eu plusieurs violations de données très médiatisées où des comptes de service ont été compromis avec succès par des acteurs de la menace. Ces attaques sont des exemples clairs de la façon dont les pirates ciblent et utilisent des comptes de service composés pour se déplacer latéralement. En comprenant ces cas, nous pouvons mieux comprendre les risques associés aux comptes de service non sécurisés et les mesures que les organisations peuvent prendre pour atténuer les risques.

    SolarWinds

    L'attaque de SolarWinds était une attaque de la chaîne d'approvisionnement en décembre 2020. Les pirates ont compromis le processus de création de la plate-forme de gestion informatique SolarWinds Orion et inséré une porte dérobée malveillante dans la base de code. Cette porte dérobée a ensuite été distribuée à de nombreuses organisations via des mises à jour logicielles légitimes. Une fois installée sur les réseaux cibles, la porte dérobée a fourni aux acteurs de la menace un accès permanent aux systèmes cibles, leur permettant d'exfiltrer des données et de se déplacer latéralement au sein des réseaux.

    Comment les comptes de service ont été impliqués

    Les comptes de service ont joué un rôle crucial dans l'attaque de SolarWinds. Les comptes de service compromis ont été utilisés par les acteurs de la menace pour se déplacer latéralement à travers les réseaux ciblés et accéder à leurs ressources. Les acteurs de la menace ont ciblé des comptes de service avec des privilèges de haut niveau, ce qui leur a permis d'accéder à des systèmes et des données critiques.

    Une fois que les pirates ont eu accès à la plate-forme de gestion informatique SolarWinds Orion, ils ont pu obtenir les informations d'identification de plusieurs comptes de service de SolarWinds. Une fois ces comptes compromis, les acteurs de la menace ont utilisé les comptes de service SolarWinds pour se déplacer latéralement sur le réseau jusqu'à atteindre le serveur ADFS.  

    Bureau américain de la gestion du personnel

    La violation de données du Bureau américain de la gestion du personnel (OPM) a été découvert en juin 2015. Il s'agissait d'un exemple classique d'opération de cyberespionnage parrainée par l'État par la menace persistante avancée (APT) chinoise. La violation d'OPM a été facilitée par plusieurs lacunes techniques et architecturales dans l'infrastructure informatique de l'agence où les acteurs de la menace ont pu accéder aux systèmes d'OPM en utilisant des informations d'identification volées appartenant à un sous-traitant tiers qui avait privilégié accès à leur réseau.

    Comment les comptes de service ont été impliqués

    Les attaquants ont d'abord eu accès au réseau OPM via un e-mail de harponnage, ce qui leur a permis d'obtenir les informations d'identification de plusieurs sous-traitants OPM. Une fois à l'intérieur du réseau, les acteurs de la menace ont utilisé les informations d'identification compromises pour accéder à plusieurs comptes de service, y compris le compte de service du sous-traitant KeyPoint Government Solutions (KGS). Ce compte disposait de privilèges de haut niveau et était utilisé pour gérer et administrer les systèmes OPM critiques.

    Les acteurs de la menace ont utilisé le compte de service de l'entrepreneur du KGS pour se déplacer latéralement sur le réseau et accéder à des données sensibles, y compris les dossiers d'enquête sur les antécédents de millions d'employés fédéraux actuels et anciens. Les acteurs de la menace ont pu exfiltrer ces données pendant plusieurs mois, au cours desquels elles sont restées non détectées. Ils ont également utilisé les comptes de service pour créer des portes dérobées sur le réseau, ce qui leur a permis de maintenir l'accès au réseau même après la détection de la violation initiale.

    Marriott

    Divulgué en 2018, l'attentat du Marriott était l'une des plus importantes violations de données jamais enregistrées. Les auteurs de menaces ont eu accès aux systèmes de l'entreprise par l'intermédiaire d'un fournisseur tiers qui avait accès à la base de données de réservations de Marriott. Une fois à l'intérieur du réseau, ils ont pu se déplacer latéralement et augmenter les privilèges dans Marriott's Active Directory Infrastructure. Après avoir obtenu l'accès, les acteurs de la menace ont installé des logiciels malveillants, qui ont été utilisés pour voler des données pendant plusieurs années. La faille n'a pas été détectée pendant des mois, ce qui a donné aux acteurs de la menace suffisamment de temps pour voler de grandes quantités de données.

    Comment les comptes de service ont été impliqués

    Les pirates ont pu obtenir les informations d'identification de deux comptes de service privilégiés avec un accès administrateur au niveau du domaine. Ils ont déployé une attaque pass-the-hash où les acteurs de la menace ont utilisé les hachages de mots de passe ensuite utilisés pour compromettre les comptes de service avec des privilèges de haut niveau pour accéder au système de réservation Starwood de Marriott, qui contenait les informations personnelles et financières sensibles de millions de clients.

    Ces comptes de service avaient accès à des systèmes et des données sensibles sur le réseau Marriott, et leur compromis a permis aux attaquants de se déplacer latéralement sur le réseau et d'augmenter leurs privilèges sur une longue période, sans être détectés par les contrôles de sécurité de Marriott.

    Le dénominateur commun : compromission du compte de service

    Dans chacun de ces cas, les pirates ont pu obtenir un accès non autorisé à des systèmes ou à des données sensibles en utilisant des comptes de service compromis pour se déplacer latéralement sur le réseau de leur victime. Ces violations soulignent l'importance de gérer et de sécuriser correctement les comptes de service pour empêcher tout accès non autorisé et réduire le risque de violations.

    Prochaine étape : Sécuriser les comptes de service avec Silverfort

    Maintenant que nous avons discuté des méthodes d'attaque utilisées par les acteurs de la menace lorsqu'ils ciblent des comptes de service et mis en évidence des violations très médiatisées impliquant des comptes de service, notre prochain article montrera comment Silverfort aide les organisations à découvrir, surveiller et protéger les comptes de service en fournissant une visibilité complète, une analyse des risques et des politiques d'accès adaptatives sans avoir besoin de rotation des mots de passe.

    Prêt pour une démo ?
    Inscrivez-vous aujourd'hui.

    Messages récents

    24 avril 2024

    5 façons d'améliorer votre hygiène AD avec Silverfort  

    26 mars 2024

    Le rapport Identity Underground : aperçu approfondi des failles de sécurité des identités les plus critiques  

    Mars 2nd, 2024

    Protection MFA pour les réseaux isolés

    Février 21st, 2024

    Atténuer les risques d'identité des comptes des ex-employés
    Voir plus

    Suivez-nous

    Arrêtez les menaces sur l'identité