Déplacements latéraux et privilèges : éviter l'escalade!

Partager cette page



Le mouvement latéral est une tactique utilisée par les cyberattaquants qui tentent de se déplacer au sein d’un réseau. 

Mieux vaut prévenir que guérir, nous informe le dicton...

Parmi les 5 phases du cycle de la cybersécurité, la prévention est la plus cruciale. Reposant sur le bon sens, elle est pourtant perçue comme la plus difficile à réaliser. Des méthodes et solutions existent.

Habituellement, les attaquants utilisent plusieurs techniques pour rechercher des actifs et des données critiques. En parallèle, le hacker détermine la cible et choisit comment y accéder.

La plupart des techniques d’accès à la cible choisie reposent sur des identifiants privilégiés et la reproduction des routines quotidiennes de l’administrateur afin de se dissimuler sans être détecté.

Il est donc difficile pour les équipes internes de détecter les mouvements latéraux avec les solutions de sécurité traditionnelles car les cyberattaquants utilisent le plus souvent des outils légitimes pour pivoter de machine en machine.

Présentation

Une fois que l’attaquant a un accès initial à une machine, par exemple après une attaque de Phishing réussie, il travaillera avec ce compte pour utiliser les privilèges afin de rechercher des données pertinentes, des identifiants et des autorisations supplémentaires. Ensuite, l’attaquant tentera d’élever les autorisations du compte utilisateur pour être habilité à effectuer des actions plus importantes dans l’environnement ciblé, on parle d’escalade de privilège.

Une fois la récolte terminée au niveau du système concerné, il se déplacera latéralement, on parle de mouvement latéral, ou « pivoting ».

L’attaquant tentera de se connecter à un autre ordinateur avec le compte dont il a pris le contrôle en premier lieu. Si personne ne l’arrête, il aura tout le temps nécessaire pour chercher et se déplacer entre les systèmes, et ce jusqu’à ce qu’il trouve finalement des données sensibles ou se fasse passer pour un compte administrateur.

Voici une représentation de plusieurs déplacement latéraux pour atteindre des ressources sensibles de l’organisation :

Crédit Microsoft

Exemples de mouvements latéraux sous Windows

Il existe plusieurs techniques pour effectuer des mouvements latéraux, nous présentons ici les plus courantes en environnement Active Directory:

  • «Pass the hash»:

La technique dite du «Pass the Hash» est extrêmement utilisée pour les déplacements latéraux (ou pour devenir administrateur sur un ensemble de machines). Elle consiste à utiliser le hash NTLM d’un utilisateur pour s’authentifier auprès d’un service d’une autre ressource. Cela permet de s’authentifier sans connaître le mot de passe en clair de l’utilisateur auquel le pirate à accès.

Pour cette attaque, il est nécessaire que l’attaquant récupère le nom d’utilisateur, le domaine (sauf en cas d’utilisateur local) et le hash NTLM du mot de passe de l’utilisateur. Avec ces éléments il est alors possible d’exécuter des commandes sur différents serveurs via le protocole SMB.

Des outils intégrés à Windows pour les tâches d’administration tel que WMI (Windows Management Instrumentation), PSEXEC ou les taches planifiées peuvent aussi permettre à un attaquant de faire du «latéral movement».

  • Exploitation de vulnérabilité :

L’attaquant peut aussi rechercher une faille non corrigée sur le système pouvant l’aider à se déplacer ou élever ses privilèges. L’exploitation de la récente faille Printnightmare concernant le spooler d’impression peut permettre par exemple à partir d’un compte d’utilisateur, de créer un compte administrateur puis de s’authentifier avec.

Lutte contre les mouvements latéraux

L’un des outils essentiel de surveillance de la sécurité est un système SIEM (Security Information and Event Management).

Avec une solution SIEM, il est facile d’identifier un intrus se déplaçant latéralement. En effet, il va forcément générer du bruit en passant d’un système à l’autre. Une fois l’attaquant repéré, il pourra alors être stoppé.

Les produits SIEM peuvent détecter l’attaquant lorsqu’il commence à utiliser le même compte sur plusieurs ordinateurs. Habituellement, un utilisateur travaille à partir d’un seul ordinateur.

D’autres bonnes pratiques en matière de sécurité sont toujours d’actualité.

Le principe du moindre privilège et divers mécanismes liés à l’authentification, tels que celle à deux facteurs et les exigences en matière de mot de passe, sont particulièrement efficaces.

Cependant, une bonne défense contre les mouvements latéraux ne saurait être optimale sans des capacités de surveillance.

La détection est la condition nécessaire pour mettre en œuvre une réaction. Ce n’est qu’en sachant ce qui se passe sur son réseau que l’on pourra stopper l’attaquant et protéger l’entreprise contre la perte de données et les violations de la vie privée.

Solution PAM (Privilege Acces Management)

Certaines solutions peuvent limiter la possibilité de mouvement latéral et d’élévation de privilèges par plusieurs procédés.

  • Un gestionnaire d’accès régit les accès des comptes à privilèges. Le gestionnaire est un point d’entrée unique pour l’application et la gestion d’accès à privilège. Chaque utilisateur a accès uniquement aux ressources et aux droits qui lui corresponds. Un super administrateur peut ajouter, modifier ou supprimer des comptes utilisateurs de manière centralisé.

Ce procédé permet d’éviter qu’un sous-traitant ou ex employé conserve un accès à privilège.

  • Un coffre fort de mot de passe stocke les mots de passe de façon sécurisé, tout accès à un système passe par ce coffre fort. Les utilisateurs n’ont pas la connaissance directe des mots de passe. Ceci limite les fuites de mots de passe ou le mouvement latéral via récupération de mot de passe.
  • Un Gestionnaire de Session enregistre les activités des sessions à privilège en vue d’une analyse ou d’un audit. Cette méthode permet de prévenir des actions malveillantes ou non autorisées et alerter les super administrateurs de manière automatique. Ce module peut permettre de fermer ou geler une session frauduleuse. Cette méthode permet de détecter une tentative d’accès à une ressource non autorisé et d’intervenir rapidement pour bloquer cet accès.

Exemple ci-dessous, dans le cas ou l’utilisateur n’a pas le droit d’accéder à l’éditeur de registre, sa session se retrouve gelée.

 

En résumé ces méthodes permettent de gérer efficacement les droits et accès de manière centralisée, de limiter les possibilités d’un attaquant de récupérer des mots de passe, de restreindre l’accès utilisateur aux ressources nécessaires à son travail afin de compartimenter les postes, de surveiller les actions à privilège avec une possibilité d’interrompre une session pour prévenir des actions malveillantes.

A présent le point de vue administrateur de la solution, qui peut décider de débloquer l’utilisateur, refuser la ressource ou même déconnecter l’utilisateur:

 

  • Poste temporaire : Dans certains cas, des postes temporaires peuvent être déployés pour les tâches d’administration. Ces postes temporaires sont générés via des templates prédéfinis selon les tâches d’administration à effectuer. Dans les faits l’administrateur va générer le poste temporaire, se connecter pour effectuer son action et, dès sa déconnexion, le poste est supprimé.

 Gestion des rebonds

Certaines solutions intègrent aussi une gestion des rebonds, sur les ressources RDP par exemple.

  • Gestion des rebonds niveau réseau : un filtre peut être activé qui va, au moment ou l’utilisateur se connecte sur sa ressource RDP, paramétrer le pare-feu local pour bloquer tout accès réseaux durant la session. L’utilisateur ne pourra donc pas rebondir sur un autre serveur. Cette solution permet d’empêcher le mouvement latéral car il isole le poste durant la session.
  • Gestion des rebonds niveau processus : Une liste noire dans laquelle on renseigne un ensemble de processus que l’on souhaite interdire (mstsc.exe ou WMI par exemple). On affecte ensuite cette liste noire aux utilisateurs connectés via RDP. Ces utilisateurs ne pourront donc pas utiliser les processus spécifiés. Cette solution permet aussi d’éviter les mouvements latéraux ou la recherche d’information via les outils d’administration Windows, si ceux-ci sont en liste noire.

Conclusion

Pour des acteurs malveillants, le mouvement latéral est une stratégie cruciale. Les réflexions sur les mouvements latéraux doivent toujours inclure les ressources impliquées dans la mise en œuvre d'une technologie.

Un modèle zéro trust, avec une séparation des privilèges et tâches, entre des utilisateurs et comptes distincts, permet de limiter les mouvements latéraux.

 

Les équipes d'Astrel, raison et telecom, par leur haut niveau d’expertise, vous accompagnent dans la protection de vos comptes à privilèges.

 Nos équipes se tiennent à votre écoute.