L'enquête de Microsoft sur la cyberattaque qui a fait les gros titres de SolarWinds se poursuit, et de plus amples informations sont révélées sur les intentions des attaquants.
L'attaque, appelée Solorigate par Microsoft (et Sunburst par la société de cybersécurité FireEye), a pris de nombreuses cibles de premier plan, en particulier les ministères du gouvernement américain.
Comme si revendiquer des cuirs chevelus tels que le Trésor américain et les départements de la Sécurité intérieure, de l'État, de la Défense, de l'Énergie et du Commerce ne suffisait pas, un récent blog Microsoft Security indique que la cible réelle de l'attaque était les actifs de stockage dans le cloud.
Les attaquants ont eu accès aux réseaux cibles à l'aide d'une mise à jour malveillante de SolarWinds Orion. Après avoir compromis SolarWinds et inséré des fichiers malveillants dans une mise à jour logicielle, les attaquants ont obtenu un accès complet au réseau lors de l'installation de la mise à jour.
Une fois à l'intérieur, les attaquants ont "peu de risques d'être détectés car l'application et les fichiers binaires signés sont communs et considérés comme fiables".
Parce que le risque de détection était si faible, les attaquants pouvaient choisir leurs cibles. Une fois la porte dérobée installée, les attaquants pourraient prendre leur temps pour comprendre l'intérêt de continuer à explorer le réseau, laissant les réseaux "à faible valeur" comme option de repli.
Microsoft pense que le motif final des attaquants était d'utiliser "l'accès par porte dérobée pour voler les informations d'identification, élever les privilèges et se déplacer latéralement pour avoir la possibilité de créer des jetons SAML valides".
Les jetons SAML (Security Assertion Markup Language) sont un type de clé de sécurité. Si les attaquants pouvaient voler la clé de signature SAML (comme une clé principale), ils pourraient créer et valider les jetons de sécurité qu'ils créent, puis utiliser ces clés auto-validées pour accéder aux services de stockage cloud et aux serveurs de messagerie.
Avec la possibilité de créer des jetons SAML illicites, les attaquants peuvent accéder à des données sensibles sans avoir à provenir d'un appareil compromis ou à être confinés à la persistance sur site. En abusant de l'accès à l'API via des applications OAuth ou des principaux de service existants, ils peuvent tenter de se fondre dans le modèle normal d'activité, notamment les applications ou les principaux de service.
Plus tôt en décembre 2020, la National Security Agency a publié un avis officiel sur la cybersécurité [PDF] intitulé "Détection de l'abus des mécanismes d'authentification". L'avis corrobore largement l'analyse de Microsoft selon laquelle les attaquants voulaient voler des jetons SAML pour créer une nouvelle clé de signature.
Les acteurs exploitent l'accès privilégié dans l'environnement sur site pour subvertir les mécanismes que l'organisation utilise pour accorder l'accès aux ressources cloud et sur site et/ou pour compromettre les informations d'identification de l'administrateur avec la capacité de gérer les ressources cloud.
Le blog Microsoft Security et le NSA Cybersecurity Advisory contiennent des informations sur le renforcement de la sécurité du réseau pour se protéger contre l'attaque, ainsi que sur la manière dont les administrateurs réseau peuvent détecter tout signe d'infiltration.
