Alertes de mouvement latéral
En général, les cyberattaques sont lancées contre des entités accessibles, par exemple un utilisateur avec des privilèges peu élevés, puis rapidement, elles se déplacent latéralement jusqu’à ce que l’attaquant parvienne à accéder à des ressources importantes. Les ressources importantes peuvent être des comptes sensibles, des administrateurs de domaine ou des données hautement sensibles. Microsoft Defender pour Identity identifie ces menaces avancées à la source tout au long de la chaîne d’annihilation des attaques et les classifie selon les phases suivantes :
- Alertes de reconnaissance et de découverte
- Alertes de persistance et d’élévation des privilèges
- Alertes d’accès aux identifiants
- Mouvement latéral
- Autres alertes
Pour en savoir plus sur la structure et les composants courants de toutes les alertes de sécurité de Defender pour Identity, consultez Présentation des alertes de sécurité. Pour plus d’informations sur le vrai positif (TP), le vrai positif bénin (B-TP) et le faux positif (FP), consultez les classifications des alertes de sécurité.
Le mouvement latéral se compose de techniques qui permettent aux personnes mal intentionnées d’accéder à des systèmes distants sur un réseau et de les contrôler. Pour suivre leur objectif principal, il est souvent nécessaire d’explorer le réseau pour découvrir leur cible et d’y accéder par la suite. Pour atteindre leur objectif, il faut souvent ajouter un tableau croisé dynamique sur plusieurs systèmes et comptes auxquels accéder. Les personnes mal intentionnées peuvent installer leurs propres outils d’accès à distance pour accomplir le mouvement latéral ou utiliser des informations d’identification légitimes avec des outils de réseau et de système d’exploitation natifs, qui peuvent être plus furtifs. Microsoft Defender pour Identity peut couvrir différentes attaques de passage (pass-the-ticket, pass-the-hash, etc.) ou d’autres exploitations contre le contrôleur de domaine, comme PrintNightmare ou l’exécution de code distant.
Suspicion de tentative d’exploitation sur le service Spouleur d’impression Windows (ID externe 2415)
Gravité : élevée ou moyenne
Description :
Les personnes mal intentionnées peuvent exploiter le service Spouleur d’impression Windows pour effectuer des opérations de fichier privilégiées de manière incorrecte. Un attaquant qui a (ou obtient) la possibilité d’exécuter du code sur la cible, et qui exploite correctement la vulnérabilité, peut exécuter du code arbitraire avec des privilèges SYSTÈME sur un système cible. Si elle s’exécute sur un contrôleur de domaine, l’attaque permet à un compte non administrateur compromis d’effectuer des actions sur un contrôleur de domaine en tant que SYSTÈME.
Cela permet à tous les attaquants qui entrent dans le réseau d’élever instantanément ses privilèges au niveau d’administrateur de domaine, de voler toutes les informations d’identification de domaine et de distribuer d’autres programmes malveillants en tant qu’administrateur de domaine.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services distants (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
- En raison du risque de compromission du contrôleur de domaine, installez les correctifs de sécurité pour CVE-2021-3452 sur les contrôleurs de domaine Windows, avant de les installer sur les serveurs membres et les stations de travail.
- Vous pouvez utiliser l’évaluation de sécurité intégrée de Defender pour Identity qui suit la disponibilité des services de spouleur d’impression sur les contrôleurs de domaine. Plus d’informations
Tentative d’exécution de code à distance sur DNS (ID externe 2036)
Gravité : moyenne
Description :
11/12/2018 Microsoft a publié CVE-2018-8626, annonçant qu’une vulnérabilité d’exécution de code à distance nouvellement découverte existe dans les serveurs DNS (Domain Name System) Windows. Dans cette vulnérabilité, les serveurs ne parviennent pas à gérer correctement les requêtes. Un attaquant qui parvient à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte du compte système local. Les serveurs Windows actuellement configurés en tant que serveurs DNS sont exposés à cette vulnérabilité.
Dans cette détection, une alerte de sécurité Defender pour Identity est déclenchée quand des requêtes DNS suspectées d’exploiter la faille de sécurité CVE-2018-8626 sont effectuées sur un contrôleur de domaine dans le réseau.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Tactique MITRE secondaire | Élévation des privilèges (TA0004) |
| Technique d’attaque MITRE | Exploitation pour l’élévation des privilèges (T1068), exploitation des services distants (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Correction et étapes suggérées pour la prévention :
- Vérifiez que tous les serveurs DNS de l’environnement sont à jour et corrigés pour CVE-2018-8626.
Suspicion d’usurpation d’identité (pass-the-hash) (ID externe 2017)
Nom précédent : usurpation d’identité à l’aide d’une attaque Pass-the-hash
Gravité : élevée
Description :
Pass-the-Hash est une technique de mouvement latéral dans laquelle les attaquants volent le hachage NTLM d’un utilisateur à partir d’un ordinateur et l’utilisent pour accéder à un autre ordinateur.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Utiliser un autre matériel d’authentification (T1550) |
| Sous-technique d’attaque MITRE | Pass-the-Hash (T1550.002) |
Suspicion d’usurpation d’identité (pass-the-ticket) (ID externe 2018)
Nom précédent : usurpation d’identité à l’aide d’une attaque Pass-the-Ticket
Gravité : élevée ou moyenne
Description :
Pass-the-Ticket est une technique de mouvement latéral dans laquelle les attaquants volent un ticket Kerberos à partir d’un ordinateur et l’utilisent pour accéder à un autre ordinateur en réutilisant le ticket volé. Dans cette détection, un ticket Kerberos est vu utilisé sur deux ordinateurs différents (ou plus).
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Utiliser un autre matériel d’authentification (T1550) |
| Sous-technique d’attaque MITRE | Pass-the-Ticket (T1550.003) |
Suspicion de falsification d’authentification NTLM (ID externe 2039)
Gravité : moyenne
Description :
En juin 2019, Microsoft a publié la faille de sécurité CVE-2019-1040, annonçant la découverte d’une nouvelle vulnérabilité de falsification dans Microsoft Windows, lorsqu’une attaque de « l’intercepteur » est en mesure de contourner correctement la protection NTLM MIC (Message Integrity Check).
Les acteurs malveillants qui exploitent cette vulnérabilité ont la possibilité de rétrograder les fonctionnalités de sécurité NTLM et peuvent créer des sessions authentifiées pour le compte d’autres comptes. Les serveurs Windows non corrigés sont exposés à cette vulnérabilité.
Dans cette détection, une alerte de sécurité Defender pour Identity est déclenchée quand des demandes d’authentification NTLM suspectées d’exploiter la vulnérabilité de sécurité identifiée dans CVE-2019-1040 sont effectuées sur un contrôleur de domaine dans le réseau.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Tactique MITRE secondaire | Élévation des privilèges (TA0004) |
| Technique d’attaque MITRE | Exploitation pour l’élévation des privilèges (T1068), exploitation des services distants (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
Forcez l’utilisation de NTLMv2 scellée dans le domaine à l’aide de la stratégie de groupe Sécurité du réseau : niveau d’authentification LAN Manager. Pour plus d’informations, consultez les instructions du niveau d’authentification LAN Manager pour définir la stratégie de groupe pour les contrôleurs de domaine.
Vérifiez que tous les appareils de l’environnement sont à jour et corrigés pour CVE-2019-1040.
Suspicion d’attaque de relais NTLM (compte Exchange) (ID externe 2037)
Gravité : moyenne ou faible si elle est observée à l’aide du protocole NTLM v2 signé
Description :
Un compte d’ordinateur serveur Exchange peut être configuré pour déclencher l’authentification NTLM avec le compte d’ordinateur serveur Exchange sur un serveur http distant, exécuté par un attaquant. Le serveur attend que la communication du serveur Exchange relaie sa propre authentification sensible à n’importe quel autre serveur ou, plus intéressant encore, à Active Directory via LDAP, et récupère les informations d’authentification.
Une fois que le serveur de relais reçoit l’authentification NTLM, il fournit un défi qui a été créé à l’origine par le serveur cible. Le client répond au défi, empêchant un attaquant de prendre la réponse et de l’utiliser pour poursuivre la négociation NTLM avec le contrôleur de domaine cible.
Dans cette détection, une alerte est déclenchée quand Defender pour Identity identifie une utilisation des informations d’identification du compte Exchange à partir d’une source suspecte.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Tactique MITRE secondaire | Élévation des privilèges (TA0004) |
| Technique d’attaque MITRE | Exploitation pour l’élévation des privilèges (T1068), Exploitation des services distants (T1210), Intercepteur (T1557) |
| Sous-technique d’attaque MITRE | LLMNR/NBT-NS Empoisonnement et relais SMB (T1557.001) |
Étapes suggérées pour la prévention :
- Forcez l’utilisation de NTLMv2 scellée dans le domaine à l’aide de la stratégie de groupe Sécurité du réseau : niveau d’authentification LAN Manager. Pour plus d’informations, consultez les instructions du niveau d’authentification LAN Manager pour définir la stratégie de groupe pour les contrôleurs de domaine.
Suspicion d’attaque overpass-the-hash (Kerberos) (ID externe 2002)
Nom précédent : implémentation d’un protocole Kerberos inhabituel (attaque overpass-the-hash potentielle)
Gravité : moyenne
Description :
Les attaquants utilisent des outils qui implémentent différents protocoles, comme SMB et Kerberos, de manière non standard. Bien que Microsoft Windows accepte ce type de trafic réseau sans avertissement, Defender pour Identity est capable de reconnaître une intention potentiellement malveillante. Le comportement indique l’utilisation de techniques telles que over-pass-the-hash, des attaques par force brute ainsi que des exploits utilisés par des rançongiciel avancés, tels que WannaCry.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services distants (T1210), Utiliser un autre matériel d’authentification (T1550) |
| Sous-technique d’attaque MITRE | Pass-the-hash (T1550.002), Pass-the-ticket (T1550.003) |
Suspicion d’utilisation de certificats Kerberos non autorisés (ID externe 2047)
Gravité : élevée
Description :
L’attaque par certificat non autorisé est une technique de persistance utilisée par les attaquants après avoir pris le contrôle de l’organisation. Les attaquants compromissent le serveur d’autorité de certification et génèrent des certificats qui peuvent être utilisés comme comptes de porte dérobée dans les futures attaques.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Tactique MITRE secondaire | Persistance (TA0003), Élévation des privilèges (TA0004) |
| Technique d’attaque MITRE | S/O |
| Sous-technique d’attaque MITRE | S/O |
Suspicion de manipulation de paquets SMB (exploitation CVE-2020-0796) (ID externe 2406)
Gravité : élevée
Description :
12/03/2020 Microsoft a publié CVE-2020-0796, annonçant qu’une nouvelle vulnérabilité d’exécution de code à distance existe dans la façon dont le protocole Microsoft SMB 3.1.1 (SMBv3) gère certaines requêtes. Un attaquant qui a réussi à exploiter la vulnérabilité peut obtenir la capacité d’exécuter du code sur le serveur cible ou le client. Les serveurs Windows non corrigés sont exposés à cette vulnérabilité.
Dans cette détection, une alerte de sécurité Defender pour Identity est déclenchée quand un paquet SMBv3 suspecté d’exploiter la faille de sécurité CVE-2020-0796 est détecté sur un contrôleur de domaine dans le réseau.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services distants (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
Si vos ordinateurs avec des systèmes d’exploitation ne prennent pas en charge KB4551762, nous vous recommandons de désactiver la fonctionnalité de compression SMBv3 dans l’environnement, comme décrit dans la section Solutions de contournement.
Vérifiez que tous les appareils de l’environnement sont à jour et corrigés pour CVE-2020-0796.
Connexion réseau suspecte au cours du protocole distant du système de fichiers EFS (ID externe 2416)
Gravité : élevée ou moyenne
Description :
Les adversaires peuvent exploiter le protocole distant du système de fichiers EFS pour effectuer des opérations de fichiers privilégiées de manière incorrecte.
Dans cette attaque, l’attaquant peut élever les privilèges dans un réseau Active Directory en forçant l’authentification à partir de comptes d’ordinateurs et en relayant vers le service de certificats.
Cette attaque permet à un attaquant de prendre le contrôle d’un domaine Active Directory (AD) en exploitant une faille dans le protocole distant du système de fichiers EFS (EFSRPC) et en le chaînant avec une faille dans les services de certificats Active Directory.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services distants (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Exécution du code distant du serveur Exchange (CVE-2021-26855) (ID externe 2414)
Gravité : élevée
Description :
Certaines vulnérabilités Exchange peuvent être utilisées conjointement pour autoriser l’exécution de code distant non authentifié sur les appareils exécutant un serveur Exchange. Microsoft a également observé des activités d’implantation de web shell, d’exécution de code et d’exfiltration de données ultérieures lors des attaques. Cette menace peut être accentuée par le fait que de nombreuses organisations publient des déploiements de serveur Exchange sur Internet pour prendre en charge les scénarios mobiles et de télétravail. Dans la plupart des attaques observées, l’une des premières étapes que les attaquants ont effectuées suite à l’exploitation réussie de CVE-2021-26855, qui permet l’exécution de code distant non authentifié, était d’établir un accès persistant à l’environnement compromis via un web shell.
Les personnes mal intentionnées peuvent créer une vulnérabilité de contournement de l’authentification résultant de la nécessité de traiter les requêtes de ressources statiques comme des requêtes authentifiées sur le backend, car les fichiers tels que les scripts et les images doivent être disponibles même sans authentification.
Configuration requise :
Defender pour Identity a besoin que l’événement Windows 4662 soit activé et collecté pour surveiller cette attaque. Pour plus d’informations sur la configuration et la collection de cet événement, consultez Configurer la collection d’événements Windows et suivez les instructions pour Activer l’audit sur un objet Exchange.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services distants (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
Mettez à jour vos serveurs Exchange avec les derniers correctifs de sécurité. Les vulnérabilités sont traitées dans les correctifs de sécurité de serveur Exchange de mars 2021.
Suspicion d’attaque par force brute (SMB) (ID externe 2033)
Nom précédent : implémentation d’un protocole inhabituel (utilisation potentielle d’outils malveillants comme Hydra)
Gravité : moyenne
Description :
Les attaquants utilisent des outils qui implémentent différents protocoles, comme SMB, Kerberos et NTLM de manière non standard. Ce type de trafic réseau est accepté par Windows sans avertissement, mais Defender pour Identity est capable de reconnaître une activité malveillante potentielle. Le comportement indique des techniques de force brute.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Force brute (T1110) |
| Sous-technique d’attaque MITRE | Estimation du mot de passe (T1110.001), pulvérisation de mot de passe (T1110.003) |
Étapes suggérées pour la prévention :
- Appliquez des mots de passe complexes et longs dans l’organisation. Les mots de passe complexes et longs fournissent le premier niveau de sécurité nécessaire contre les futures attaques par force brute.
- Désactiver SMBv1
Suspicion d’attaque par rançongiciel WannaCry (ID externe 2035)
Nom précédent : implémentation d’un protocole inhabituel (attaque potentielle par rançongiciel WannaCry)
Gravité : moyenne
Description :
Les attaquants utilisent des outils qui implémentent différents protocoles de manière non standard. Ce type de trafic réseau est accepté par Windows sans avertissement, mais Defender pour Identity est capable de reconnaître une activité malveillante potentielle. Le comportement indique l’utilisation de techniques de rançongiciels avancés, tels que WannaCry.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services distants (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
- Corrigez toutes vos machines, en veillant à appliquer les mises à jour de sécurité.
Suspicion d’utilisation du cadre de piratage Metasploit (ID externe 2034)
Nom précédent : implémentation d’un protocole inhabituel (utilisation potentielle d’outils de piratage Metasploit)
Gravité : moyenne
Description :
Les attaquants utilisent des outils qui implémentent différents protocoles (SMB, Kerberos, NTLM) de manière non standard. Ce type de trafic réseau est accepté par Windows sans avertissement, mais Defender pour Identity est capable de reconnaître une activité malveillante potentielle. Le comportement indique des techniques telles que l’utilisation du cadre de piratage Metasploit.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services distants (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Correction et étapes suggérées pour la prévention :
Utilisation suspecte d'un certificat sur le protocole Kerberos (PKINIT) (ID externe 2425)
Gravité : élevée
Description :
Des attaquants exploitent des vulnérabilités dans l'extension PKINIT du protocole Kerberos en utilisant des certificats suspects. Cela peut conduire à une usurpation d'identité et à un accès non autorisé. Les attaques possibles comprennent l'utilisation de certificats non valides ou compromis, les attaques de type « man-in-the-middle » et une mauvaise gestion des certificats. Des audits de sécurité réguliers et le respect des meilleures pratiques en matière d'infrastructure à clé publique sont essentiels pour atténuer ces risques.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Utiliser un autre matériel d’authentification (T1550) |
| Sous-technique d’attaque MITRE | N/A |
Remarque
Les alertes relatives à l'utilisation suspecte d'un certificat sur le protocole Kerberos (PKINIT) sont uniquement prises en charge par les capteurs de Defender pour Identity sur AD CS.
Attaque de type « over-pass-the-hash » (chiffrement forcé) suspectée (ID externe 2008)
Gravité : moyenne
Description :
Les attaques de type « over-pass-the-hash » impliquant des types de chiffrement forcés peuvent exploiter des vulnérabilités dans des protocoles tels que Kerberos. Les attaquants tentent de manipuler le trafic réseau, de contourner les mesures de sécurité et d'obtenir un accès non autorisé. Pour se défendre contre de telles attaques, il faut des configurations de chiffrement et une surveillance robustes.
Période d’apprentissage :
1 mois
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Tactique MITRE secondaire | Évasion de défense (TA0005) |
| Technique d’attaque MITRE | Utiliser un autre matériel d’authentification (T1550) |
| Sous-technique d’attaque MITRE | Pass the Hash (T1550.002), Pass the Ticket (T1550.003) |
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour