Une technique utilisée entre autres par les ransomwares pour infiltrer les systèmes
Microsoft déploie une politique de sécurité par défaut sur Windows 11 qui contribuera grandement à empêcher les attaques par force brute. Les attaques déclencheront désormais une politique de verrouillage de compte, qui verrouillera automatiquement tous les comptes d’utilisateurs et d’administrateurs. La politique est conçue pour verrouiller les comptes après dix tentatives de connexion infructueuses, empêchant l’exécution de l’attaque par force brute.
La nouvelle politique se trouve dans Windows 11 Insider Preview Build 22528.1000 et versions ultérieures, et il est possible de modifier les paramètres selon les besoins. Les utilisateurs ont la possibilité de modifier non seulement le nombre d'entrées de mot de passe incorrectes qui déclenchent un verrouillage, mais également la durée pendant laquelle un compte doit être verrouillé.
Malgré leur ancienneté et leur simplicité, les attaques par force brute ont connu une certaine résurgence en raison des besoins actuels du lieu de travail. La pandémie de Covid-19 a contraint de nombreux employés et entreprises à adopter et à s’appuyer sur diverses solutions à distance. L’évolution de la connectivité sur le lieu de travail a entraîné une forte augmentation des attaques par force brute, passant de 150 000 attaques par an à plus d’un million au début de la pandémie.
En effet, lors de l'édition 2022 de la conférence sur la sécurité RSA qui a eu lieu en février, l'agent spécial du FBI Joel DeCapua a déclaré que le protocole Windows Remote Desktop Protocol (RDP) est la méthode la plus courante utilisée par les attaquants de ransomware pour accéder à un réseau avant de déployer le ransomware. « RDP représente toujours 70 à 80*% de la base initiale utilisée par les acteurs du ransomware », a déclaré DeCapua dans son discours. Par conséquent, si vous utilisez RDP dans votre organisation, il est recommandé d'utiliser l'authentification au niveau du réseau (NLA), qui oblige les clients à s'authentifier auprès du réseau avant de se connecter au serveur de bureau à distance. Cette disposition améliore la sécurité car elle ne permet pas à l'attaquant d'accéder à un serveur RDP tant qu'il n'est pas authentifié et offre ainsi une meilleure protection contre les exploits de pré-authentification. Il est également suggéré d'utiliser des mots de passe uniques et complexes pour vos comptes RDP.
Microsoft bloque lentement les vecteurs d'attaque les plus populaires
Microsoft bloquera les macros Office par défaut à partir du 27 juillet
Microsoft a confirmé qu'il commencerait bientôt à bloquer par défaut les macros Visual Basic Applications (VBA) dans les applications Office après avoir discrètement annulé le changement plus tôt ce mois-ci.
Dans une nouvelle mise à jour, la grande enseigne de la technologie a déclaré qu'elle commencerait à bloquer les macros Office par défaut à partir du 27 juillet. Cela survient peu de temps après que Microsoft a interrompu le déploiement de la fonction de blocage des macros en citant des « commentaires d'utilisateurs » non spécifiés. On pense que le déploiement initial, qui a débuté début juin, a causé des problèmes aux organisations utilisant des macros pour automatiser les processus de routine, tels que la collecte de données ou l'exécution de certaines tâches.
Dans une déclaration, Microsoft a déclaré avoir suspendu le déploiement pendant qu'il « apporte quelques modifications supplémentaires pour améliorer la convivialité ». La société a depuis mis à jour sa documentation avec des instructions étape par étape pour les utilisateurs finaux et les administrateurs informatiques expliquant comment Office détermine s'il faut bloquer ou exécuter des macros, quelles versions d'Office sont affectées par les nouvelles règles, comment autoriser les macros VBA dans les fichiers de confiance et comment se préparer au changement.
Les macros constituent un vecteur d'attaque populaire dans le rang des cybercriminels. Dans le cadre de ces attaques, les utilisateurs reçoivent généralement un document par courrier électronique ou qu'ils sont invités à télécharger sur un site Web. À l'ouverture du fichier par la victime, l'attaquant laisse généralement un message demandant à l'utilisateur de permettre l'exécution de la macro. Bien que les utilisateurs ayant des connaissances techniques et en cybersécurité soient capables de reconnaître ce piège et de se faire quand même infecter par des logiciels malveillants, de nombreux utilisateurs quotidiens d'Office ignorent encore cette technique.
Ils finissent alors par suivre les instructions fournies, s'infectant eux-mêmes avec des logiciels malveillants. La gestion de ce problème a été une épine dans le pied de Microsoft, car les macros VBA sont souvent utilisées dans les entreprises pour automatiser certaines opérations et tâches lors de l'ouverture de certains fichiers, comme l'importation de données et la mise à jour du contenu du document à partir de sources dynamiques. Depuis le début des années 2000, Microsoft a tenté de résoudre ce problème en affichant un léger avertissement de sécurité sous la forme d'une barre d'outils en haut du document.
Mais en février, Microsoft a annoncé son intention de désactiver les macros par défaut en février pour empêcher les acteurs malveillant d'abuser de la fonctionnalité pour diffuser des logiciels malveillants via des pièces jointes aux e-mails.
Ce changement, réclamé depuis des années par les chercheurs en sécurité, est perçu comme une barrière sérieuse contre les acteurs malveillants du Web, qui incitent les utilisateurs à autoriser l'exécution d'une macro infectée afin d'installer des logiciels malveillants sur leurs systèmes.
Avec ce changement, lorsque des fichiers qui utilisent des macros seront téléchargés depuis Internet, ces macros seront désormais entièrement désactivées par défaut. Contrairement aux anciennes versions d'Office, qui affichent une bannière d'alerte sur laquelle il est possible de cliquer pour autoriser l'exécution des macros, la nouvelle version de la bannière ne propose aucun moyen de les activer.
Authentification multficateur dans Azure AD
Pour contrecarrer les attaques par mot de passe et par hameçonnage, Microsoft a déployé des paramètres de sécurité par défaut pour un grand nombre d'utilisateurs d'Azure Active Directory (AD).
Microsoft a commencé à déployer les valeurs par défaut de sécurité pour les clients qui ont créé un nouveau compte Azure AD après octobre 2019, mais n'a pas activé les valeurs par défaut pour les clients qui ont créé des comptes Azure AD avant octobre 2019.
En mai, Microsoft a annoncé que les valeurs par défaut de sécurité d'Azure AD étaient utilisées par environ 30 millions d'organisations. L'entreprise a indiqué à cette période que le mois suivant, elle allait déployer les valeurs par défaut dans de nombreuses autres organisations, ce qui entraînera la protection par défaut de 60 millions de comptes supplémentaires. « Une fois terminé, ce déploiement protégera 60 millions de comptes supplémentaires (soit à peu près la population du Royaume-Uni*!) contre les attaques d'identité les plus courantes », a déclaré Alex Weinert, directeur de la sécurité des identités chez Microsoft.
Aussi, avec toutes ces mesures, la société bloque lentement tous les vecteurs d'entrée utilisés par les opérateurs de rançongiciels pour pénétrer par effraction dans les réseaux et systèmes Windows.
Azure AD est le service cloud de Microsoft pour la gestion de l'identité et de l'authentification des applications sur site et cloud. C'était l'évolution des services de domaine Active Directory dans Windows 2000. Microsoft a introduit des valeurs par défaut sécurisées en 2019 en tant qu'ensemble de base de mécanismes de sécurité d'identité pour les organisations moins bien dotées qui souhaitaient renforcer les défenses contre les attaques par mot de passe et par hameçonnage. Il s'adressait également aux organisations utilisant le niveau gratuit de licence Azure AD, permettant à ces administrateurs de simplement basculer sur les « valeurs par défaut de sécurité » via le portail Azure.
Une politique disponible pour les systèmes Windows 10, mais pas par défaut
La politique de verrouillage de compte est également disponible sur les systèmes Windows 10. Cependant, malheureusement, elle n'est pas activée par défaut, ce qui permet aux attaquants de se frayer un chemin dans les systèmes Windows avec des services RDP (Remote Desktop Protocol) exposés.
Les administrateurs peuvent configurer cette stratégie sur Windows 10 dans la console de gestion des stratégies de groupe à partir de Configuration ordinateur\Politiques\Paramètres Windows\Paramètres de sécurité\Politiques de compte\Politique de verrouillage du compte.
Il s'agit d'une amélioration cruciale de la sécurité car de nombreux serveurs RDP, en particulier ceux utilisés pour aider les télétravailleurs à accéder aux actifs de l'entreprise, sont directement exposés à Internet, exposant le réseau des organisations à des attaques lorsqu'ils sont mal configurés.
Pour mettre les choses en perspective, les attaques ciblant les services RDP ont connu une forte augmentation depuis au moins la mi-fin 2016, à commencer par la popularité croissante des places de marché du dark web qui vendent l'accès RDP aux réseaux compromis, selon un rapport FBI IC3 de 2018.
Des décisions accueillies chaleureusement par les professionnels de la sécurité
Le nouveau contrôle de verrouillage des comptes a été applaudi par les experts en cybersécurité.
Nous pouvons citer Kevin Beaumont, qui a tweeté :
Citation Envoyé par Kevin Beaumont
« oh mon dieu, ils s'occupent du problème d'entrée RDP - entre les macros et RDP, cela fait presque toutes les entrées de ransomware Windows/MS.
Je dois une bière à Dave
(... une fois qu'il est rétroporté sur les anciens systèmes d'exploitation et généralement disponible ...)
merci à Developpez.comCitation Envoyé par Kevin Beaumont
« Le correctif RDP brute force est rétroporté vers les versions Windows (prises en charge ?).
« En supposant qu'il se trouve dans un correctif de sécurité mensuel (distribution étendue), cela résoudra l'un des principaux points d'entrée des ransomwares (source : mon équipe traite 5*000*incidents de sécurité par an) ».