L'enquête de Microsoft sur la cyberattaque SolarWinds, qui a défrayé la chronique, avance et révèle les véritables intentions des attaquants.
Cette attaque, baptisée Solorigate par Microsoft et Sunburst par FireEye, a visé de nombreuses organisations de premier plan, notamment les ministères américains du Trésor, de la Sécurité intérieure, des Affaires étrangères, de la Défense, de l'Énergie et du Commerce.
Au-delà de ces cibles prestigieuses, un récent billet du blog Microsoft Security indique que la véritable cible était les actifs de stockage cloud.
Les attaquants ont infiltré les réseaux via une mise à jour malveillante de SolarWinds Orion. Après avoir compromis SolarWinds et inséré des fichiers malveillants dans une mise à jour logicielle, ils ont obtenu un accès complet lors de son installation.
Une fois à l'intérieur, le risque de détection était minime, car l'application et les fichiers signés étaient considérés comme fiables et courants.
Grâce à cette discrétion, les attaquants sélectionnaient leurs cibles avec soin. Après installation de la porte dérobée, ils évaluaient patiemment l'intérêt de poursuivre l'exploration, laissant de côté les réseaux à faible valeur.
Selon Microsoft, l'objectif ultime était d'exploiter cet accès pour voler des identifiants, élever les privilèges et se déplacer latéralement, afin de créer des jetons SAML valides.
Les jetons SAML (Security Assertion Markup Language) sont des mécanismes d'authentification. En volant une clé de signature SAML, les attaquants pouvaient générer des jetons auto-validés pour accéder aux services cloud de stockage et de messagerie.
Avec des jetons SAML illicites, les attaquants accèdent à des données sensibles sans appareil compromis ni confinement sur site. En abusant des API via OAuth ou des principaux de service, ils se fondent dans le trafic normal.
Début décembre 2020, la NSA a publié un avis officiel [PDF] intitulé « Détection de l'abus des mécanismes d'authentification ». Cet avis valide l'analyse de Microsoft sur le vol de jetons SAML pour créer de nouvelles clés de signature.
Les acteurs exploitent un accès privilégié sur site pour subvertir les mécanismes d'accès aux ressources cloud et on-premise, ou compromettre les identifiants d'administrateurs gérant les ressources cloud.
Le blog Microsoft Security et l'avis NSA fournissent des conseils pour renforcer la sécurité réseau et détecter toute infiltration.
