Tendance 2023 : les 10 vulnérabilités à surveiller de près

Une fois de plus, le nombre de vulnérabilités de sécurité a encore explosé en 2022. Selon la base maintenue à jour par le MITRE, leur nombre s’est élevé à 25 059 – soit une augmentation de 20 % par rapport à 2021. Celles-ci ont été largement exploitées par les groupes de cyberattaquants, et les premières tendances de l’année 2023 ne présagent pas de changements à ce sujet. Découvrez donc les 10 vulnérabilités à surveiller en 2023.

Campagne ESXiArgs

Cette campagne de rançongiciel qui a sévi dans le monde entier, au mois de février 2023, s’attaque à la technologie de virtualisation de VMWare : ESXi. Son impact global est encore compliqué à évaluer, mais de nombreux serveurs ESXi – exposés sur internet et non à jour – ont été touchés et chiffrés.

La vulnérabilité utilisée par cette campagne (recensée sous le nom de CVE-2021-21974) touche le protocole OpenSLP (Open Service Location Protocol), activé de base sur les ESXi, et permet une exécution de code à distance. Les serveurs touchés étaient donc majoritairement exposés sur internet et non à jour. Les versions touchées par cette faille sont : ESXi versions 7.x antérieures à ESXi70U1c-17325551, ESXi versions 6.7.x antérieures à ESXi670-202102401-SG et ESXi versions 6.5.x antérieures à ESXi650-202102101-SG.

La singularité de cette campagne est que la vulnérabilité sur OpenSLP était pourtant vieille de deux ans, et des exploits sont disponibles publiquement depuis mi-2021. A ce jour, personne ne sait pourquoi la campagne n’a pas été déclenchée plus tôt. Les attaquants ont, par contre, été réactifs en adaptant leur méthode de chiffrement des serveurs quelques jours à peine après que la CISA (Cybersecurity & Infrastructure Security Agency) ait publié un script d’aide au déchiffrement pour les victimes.

Wiper Aïkido

Les wipers sont une catégorie de logiciels malveillants dont le rôle est de supprimer des éléments du système de fichiers – en général pour rendre le système inutilisable.

Quant à lui, l’aïkido est un art martial dont un des principes maîtres est d’utiliser la force de l’adversaire pour le battre. C’est cette idée même qu’utilise le wiper éponyme, en forçant un agent antivirus/EDR présent sur le système à en supprimer des composants vitaux. En pratique, Aïkido utilise des liens symboliques/jonctions pour que l’agent – censé protéger le système – supprime des fichiers ou drivers critiques en les confondant à des menaces.

Plusieurs antivirus et EDR ont été touchés par cette faille, et les éditeurs ont tous mis à disposition des patchs pour la corriger. Il est recommandé, bien évidemment, de les appliquer dès que possible.

OpenSSL

OpenSSL est une librairie multi-plateforme qui implémente de nombreuses fonctions cryptographiques. Elle est très régulièrement implémentée dans des solutions manipulant des certificats – ou plus largement des objets cryptographiques.

La CVE-2023-0286 touche les versions 3.0.0, 1.1.1, et 1.0.2 d’OpenSSL et permet à un attaquant de lire à distance la mémoire du serveur exécutant OpenSSL (ainsi que de rendre possible le déni de service). Théoriquement, elle pourrait être utilisée avec plusieurs rejeux pour déterminer les clés utilisées dans un échange cryptographique (comme une communication TLS par exemple).

OpenSSL a déjà partagé des patchs (3.0.8, 1.1.1t, et 1.0.2zg) corrigeant cette vulnérabilité, mais toutes les applications embarquant une version d’OpenSSL doivent également être vérifiées et patchées si nécessaire.

Configuration Active Directory

L’Active Directory (AD) est le cœur du système d’information (SI) pour la plupart des SI modernes : il regroupe les postes de travail et serveurs Windows (parfois même Linux) et sert de fournisseur d’identité pour de nombreux systèmes on-premise (mais également cloud avec des systèmes comme l’Azure AD Connect). Il est donc une cible de choix pour les attaquants, la compromission d’un administrateur AD menant en général à celle de tout le système.

Les vulnérabilités sur l’AD sont multiples, mais parmi les plus récentes : PrintNightmare (manipulation du service spooler d’impression), la présence de protocoles obsolètes (NTLMv1, SMBv1, LMHash, LLMNR) ou encore une mauvaise gestion des comptes de service. De nombreux outils existent afin d’aider à la détection, la priorisation et la remédiation de ces vulnérabilités.

Focus sur les vulnérabilités liées à AD CS

Active Directory Certificate Services est un service Microsoft de PKI (Private Key Infrastructure) très répandu, notamment car il est gratuit et simple d’usage. Pour les mêmes raisons que sur l’AD, il est donc très fréquent de rencontrer des vulnérabilités sur ce service. Un bon exemple de cette criticité est l’exploitation de la faille PetitPotam. Celle-ci consiste en l’exploitation d’une vulnérabilité du protocole Encrypting File System Remote afin de réaliser une attaque par relais NTLM auprès du serveur de PKI – pour se faire passer pour le serveur ciblé (par exemple, un contrôleur de domaine). Microsoft a recommandé différentes configurations de hardening afin d’empêcher l’exploitation de PetitPotam.

Faille du client lourd Outlook

Microsoft a communiqué le 14 mars 2023 sur une faille (CVE-2023-23397) touchant une grande partie des versions de Microsoft Outlook (client mail). D’un score de 9.8, cette vulnérabilité critique est exploitée lorsqu’un attaquant envoie un lien par mail pointant vers une ressource SMB (protocole de partage de fichier) qu’il contrôle. L’attaquant peut alors récupérer le hash NTLMv2 du mot de passe de l’utilisateur et le rejouer sur d’autres ressources afin d’usurper l’identité de l’utilisateur.

Aucune correction de la faille ne semble avoir été communiquée pour l’instant.

Contournement des méthodes d’authentification forte

Face aux tentatives d’usurpation d’identité de plus en plus fréquentes, l’utilisation de l’authentification multi-facteur (MFA) est une recommandation de plus en plus forte. Celle-ci peut passer par l’envoi d’un code par SMS ou par e-mail, l’utilisation de supports cryptographiques de type smartcards ou clé de sécurité, ou encore l’utilisation d’un code obtenu via une application sur le téléphone.

Mais avec l’apparition de services tels qu’EvilProxy, même le MFA n’est désormais plus suffisant. Son fonctionnement ? Un lien de phishing est envoyé à la cible, la renvoyant vers un site qui est une copie du « vrai » site (comme par exemple la page d’authentification de Microsoft 365). L’utilisateur va alors entrer ces informations de connexion (dont un token MFA), que le site malveillant va rejouer pour authentifier l’utilisateur vers le vrai site. Ainsi, l’opération est transparente côté utilisateur, tandis que l’attaquant peut utiliser le cookie de connexion, ainsi récupéré, pour se connecter également.

Configuration des pipelines de développement CI/CD

Il est de plus en plus fréquent d’utiliser des pipelines d’automatisation CI/CD (Continuous Integration / Continuous Deployment), afin d’automatiser des tâches de déploiement de machines virtuelles sur des environnements cloud. Mais les recommandations liées à la sécurité sont encore trop peu souvent intégrées à ces processus, ce qui les rend très vulnérables à des attaques.

Il n’est pas rare de trouver des éléments d’authentification en clair dans ces pipelines, sans qu’ils ne soient correctement protégés. Des attaques par empoisonnement de pipeline existent également, permettant à des attaquants de modifier les procédures de déploiement pour y intégrer des failles ou du code malveillant. Au vu de la recrudescence du CI/CD, il est à prévoir que ce type d’attaque se multiplie dans le futur.

Attaques sur les équipements industriels

Avec l’avènement de l’industrie 4.0, les machines industrielles sont de plus en plus connectées, au sein des réseaux d’entreprise et même parfois sur internet. Leur sécurisation est cependant souvent à la marge, notamment à cause de la pluralité des technologies concernées.

Comme l’a montré l’attaque de Colonial Pipeline en mai 2021, des cyberattaques sur les équipements industriels peuvent avoir des impacts énormes. Il est donc primordial de suivre de près la sécurisation des équipements en usine, de détecter les vulnérabilités qui les touchent et d’y remédier au plus vite.

Attaques liées au machine learning et à l’intelligence artificielle

La course aux outils d’intelligence artificielle ne cesse de s’accélérer, comme on a pu le remarquer en ce début d’année avec les différentes communications d’acteurs tels que Microsoft et Google. Deux axes sont à considérer par rapport à la sécurité de ces innovations : tout d’abord, de tels outils pourraient être utilisés par des attaquants pour adapter leurs méthodes d’attaque à grandes échelles – et les rendre plus efficace. Finalement, ces outils basés sur des modèles statistiques nécessitent une phase d’entraînement, qui peut être corrompue. Ainsi, si un individu parvenait à y accéder, il pourrait les modifier pour altérer l’efficacité de l’outil. On pense notamment aux solutions de type EDR qui embarquent souvent, aujourd’hui, du machine learning pour la détection comportementale.

Cliquez ici pour lire l’article depuis sa source.

Laisser un commentaire