Hôpitaux, grandes entreprises, PME et ETI, ces organisations ont subi les attaques de groupes de cybercriminels qui ont exploité les failles de Windows avec l’outil informatique EternalBlue développé par la National Security Agency (NSA) des États-Unis et qu’ils lui ont dérobé. Depuis, les RSSI et DSI ont compris la nécessité de segmenter les réseaux et bien entendu, de combler les failles des terminaux Windows qui sont des points d’accès privilégiés aux réseaux informatiques. Les menaces ont aujourd’hui évolué, notamment vers des actions de cyberguerre, avec des acteurs malveillants soutenus par des Etats.
Un livre blanc de Delinea, prestataire de solutions de sécurité, montre les points à sécuriser dans Windows et les méthodes pour les protéger, via le hacking éthique. Il s’agit pour un expert externe accrédité par une entreprise ou une institution, de se mettre à la place d’un vrai pirate. Une pratique d’identification puis de correction des vulnérabilités, en restant bien entendu dans la légalité.
La première étape est de dresser un état des lieux de l’exposition publique de la cible potentielle. L’un des objectifs est de collecter des informations sur les contrôles de sécurité, les lecteurs de badges, etc. Il faut identifier les données sur les employés avec les types de badges, numéros de téléphones, ordinateurs portables. A cela, s’ajoute la reconnaissance en ligne et l’ingénierie sociale, à partir, notamment, des médias sociaux. La collecte des logos, modèles de courrier électronique, des modèles d'entreprise signatures via les données publiques fait partie des méthodes de piratage.
Le faux « pirate » doit d’abord définir le périmètre de ses actions avec son commanditaire. Il communique ensuite les vulnérabilités qu’il a découvertes et fournit des conseils pour combler les failles. Ayant accès à la totalité du SI qu’il explore, le hacker éthique doit, bien sûr, respecter la confidentialité des données sensibles.
Les solutions à mettre en place
Elles sont connues par les RSSI des grands groupes mais sont parfois négligées par des PME et ETI.Ainsi, le port RDP 3389 peut permettre à un attaquant de découvrir des mots de passe par force brute, s’ils sont faibles ou faciles à trouver. Ce port permet une connexion graphique à distance au terminal Windows, par une ancienne vulnérabilité telle BlueKeep
(CVE-2019-0708). La limitation des privilèges d’accès des comptes sur les terminaux Windows est particulièrement importante pour les collaborateurs en télétravail. Conseils basiques, il faut supprimer les logiciels inutilisés et dans le cadre du renouvellement du parc informatique, se débarrasser des OS et applications obsolètes et tout au moins, mettre en place un contrôle d'accès et des privilèges réduits pour les utilisateurs.
Les terminaux Windows sont dotés de plusieurs types de contrôle d'accès, comptes d'utilisateurs, comptes de services et groupes, délégués dans une ACL
(Access Control List), qui détermine l'accès aux ressources du système telles que fichiers, dossiers, registres et services. Les comptes les plus recherchés par les pirates sont l'administrateur de domaine, l'administrateur local, les comptes de service et tous les comptes répertoriés dans le groupe Local Domain. Pour énumérer ces ressources afin d’éviter une escalade des privilèges ou des déplacements latéraux, il existe plusieurs outils dont BloodHound, une application web Javascript, avec une base de données Neo4j mise à jour par un collecteur de données en C#. Il utilise la théorie des graphes pour révéler des relations cachées et identifier facilement des chemins d'attaque très complexes dans un environnement Active Directory.