Barracuda full logo

Quelle surface d'attaque les programmes Microsoft représentent-ils ?

Thèmes:
16 janv. 2024
|
Christine Barry

Quelle surface d'attaque les programmes Microsoft représentent-ils ? Savez-vous à quel point vous défendez Microsoft ?

Les systèmes d'exploitation et les applications Microsoft sont presque incontournables dans les environnements professionnels. Je ne dis pas qu'il faut les éviter. Windows et Microsoft 365 sont mes systèmes de prédilection et j'en suis très satisfait, mais nous ne pouvons pas négliger le fait que les produits Microsoft sont les cibles préférées des acteurs malveillants du monde entier. Active Directory, SQL, Microsoft 365, Outlook et de nombreux autres produits Microsoft présentent des vulnérabilités qui peuvent être exploitées. Les configurations inadéquates et les mauvaises pratiques de sécurité augmentent les risques. Il existe un produit Microsoft pour presque tous les vecteurs de menace.

Quelle est la place de Microsoft sur le marché ?

Microsoft domine en matière de systèmes d'exploitation de bureau Windows, avec environ 70 % de part de marché en juillet 2023. Ce pourcentage baisse de près de 6 % si l'on tient également en compte les tablettes et les consoles. La part de marché totale des emails hébergés de Microsoft Exchange Online est d'un peu plus de 39 %, mais la part de marché totale des emails pour les produits Exchange locaux et hébergés est plus difficile à trouver. Au sein de la famille de produit, la domination d'Exchange Online sur les déploiements sur site est d'environ 75 %.  C'est un avantage pour la plupart des entreprises, car Exchange Online est beaucoup plus facile à maintenir et à gérer qu'un déploiement sur site. Certaines ont encore besoin ou souhaitent exécuter Exchange sur site, et elles pourraient avoir du travail à faire si elles veulent assurer sa sécurité. La prochaine version de Microsoft Exchange est prévue pour le premier semestre 2025. Quatre ans se seront écoulés depuis sa date de sortie initiale, car les efforts de développement ont été axés sur la protection des serveurs existants contre les attaques perpétrées par des États souverains.  

Microsoft SQL Server (MSSQL) est un serveur de base de données largement utilisé dans les déploiements sur site. Une version hébergée de SQL Server est disponible sur Microsoft Azure. Aucune annonce n'a été faite concernant la prochaine version. La popularité de la suite de productivité Microsoft 365 a explosé lorsque la pandémie a contraint les professionnels à travailler à domicile ; en décembre 2023, 345 millions de clients payants utilisaient le logiciel.

Il ne faut pas oublier Microsoft Active Directory (AD), un ensemble de processus qui s'exécutent sur un système d'exploitation Windows Server. Cette solution stocke des informations sur les objets du réseau et sert de point de gestion centralisé pour les utilisateurs, les appareils, les autorisations, les groupes, et plus encore.

Ce groupe de produits n'inclut pas tout, mais vous comprenez l'idée.

L'expérience vaut de l'or.

Les anciens systèmes et les vulnérabilités non corrigées sont des opportunités en or pour les acteurs de la menace. Il est impossible de savoir exactement combien de vulnérabilités et de risques de menaces existent à un moment donné. La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis documente les vulnérabilités et risques courants (CVE) dans son catalogue KEV (Known Exploited Vulnerabilities). La CISA conseille à toutes les organisations de se servir du catalogue KEV comme « d'une source d'information dans leur cadre de hiérarchisation de la gestion des vulnérabilités ». Il y a 276 CVE Microsoft répertoriés dans le catalogue KEV et plus de 170 corrections de CVE dans le Guide des mises à jour de sécurité de Microsoft. S'il est impossible de savoir avec certitude combien de CVE Microsoft n'ont pas été corrigées, nous savons que ces systèmes non corrigés représentent des menaces crédibles aux États-Unis et dans d'autres pays. En voici quelques exemples :

EternalBlue (CVE-2017-0144) : le tristement célèbre exploit de la NSA de la vulnérabilité du SMB de Windows a permis une cyberattaque mondiale massive en 2017. Microsoft l'a corrigé il y a des années, mais des centaines de milliers de systèmes restent vulnérables.

BlueKeep (CVE-2023-29357) : les acteurs malveillants envoient des paquets malicieux à des versions vulnérables du Remote Desktop Protocol (RDP). L'attaque permet aux intrus « d'ajouter des comptes dotés de tous les droits d'utilisateur, de consulter, de modifier ou de supprimer des données, ou d'installer des programmes ». Microsoft a publié un correctif de sécurité pour cette vulnérabilité en mai 2019. Le tableau de bord Shodan pour les États-Unis montre que des milliers de machines connectées à Internet restent aujourd'hui vulnérables à cette attaque.

Serveurs Exchange en fin de vie (plusieurs CVE) : les serveurs Exchange sur site se trouvent souvent sur la même machine que les serveurs de stockage de fichiers, les serveurs d'impression et parfois même Active Directory. Ces machines peuvent agir en tant que serveurs Exchange, ou elles sont parfois d'anciens serveurs Exchange qui n'ont pas été correctement mis hors service. Cette situation peut concerner les anciens serveurs Small Business Server qui sont encore utilisés exclusivement pour le stockage local. Les chercheurs en sécurité de Barracuda ont récemment identifié ces serveurs Exchange obsolètes comme des menaces critiques présentant de multiples vulnérabilités.

Vulnérabilité de l'escalade des privilèges SharePoint Server (CVE-2023-29357) : Microsoft a corrigé cette vulnérabilité en juin 2023. Le nombre de systèmes qui demeurent vulnérables n'est pas connu, mais la CISA a publié un avis sur l'exploitation active le 10 janvier 2024. Les agences américaines doivent remédier à l'exposition avant le 31 janvier 2024. Vous trouverez des informations techniques du NIST ici et la documentation des chercheurs ici.

Log4Shell/Log4J (CVE-2021-44228) : Log4J est une bibliothèque de journalisation qui n'appartient pas à Microsoft mais qui est utilisée dans de nombreuses applications tierces qui peuvent être exécutées sur les systèmes Microsoft. Cette vulnérabilité permet à un acteur malveillant d'accéder aux systèmes sans authentification et d'exécuter des instructions à distance. Microsoft a supprimé l'utilisation de Log4j2 dans SQL Server 2019 Integration Services (SSIS) avec cette mise à jour en avril 2022. Le problème dans les éditions Java d'applications comme Microsoft Minecraft a également été atténué. Microsoft Defender peut permettre de détecter et corriger les vulnérabilités de Log4J sur vos appareils.

Contournement de la sécurité de l'attribut sAMAccountName (CVE-2021-42278) : cette attaque sur Microsoft Active Directory exploite une fonctionnalité qui permet aux utilisateurs non-administrateurs d'ajouter des ordinateurs au domaine. Elle simplifiait la tâche des environnements qui souhaitent permettre aux utilisateurs d'ajouter des PC au réseau et d'effectuer des tâches d'installation de base. Microsoft a publié un correctif et des instructions d'atténuation en novembre 2021.

Il ne s'agit là que d'une poignée d'anciennes vulnérabilités encore exploitées aujourd'hui. Elles sont nombreuses et beaucoup de systèmes existants ne peuvent tout simplement pas être mis à jour ou remplacés sans perturber le fonctionnement des entreprises.

Les vieux systèmes sont très vulnérables

Les anciens systèmes et leurs vulnérabilités ne sont pas les seuls à être exposés aux attaques. Les serveurs Microsoft SQL Server sont actuellement la cible d'une attaque qui exploite la procédure xp_cmdshell pour télécharger des charges utiles de malwares et de ransomwares et se déplacer latéralement sur le réseau pour accéder aux contrôleurs de domaine et à d'autres systèmes. Xp_cmdshell est une fonction légitime qui permet d'exécuter des commandes Windows depuis l'environnement SQL Server. Cette procédure est désactivée par défaut et ne doit être activée que dans des cas spécifiques. Cette attaque repose sur une mauvaise configuration et illustre l'importance de comprendre un composant avant de modifier son état par défaut. Vous trouverez toutes les informations sur cette attaque MSSQL ici.

Cette attaque d'authentification par force brute de NT Lan Manager (NTLM) abuse d'une fonctionnalité légitime de Microsoft Access. À l'instar des menaces visant SQL Server et Active Directory mentionnées plus haut, aucun correctif ne neutralise totalement cette attaque. Le principe du moindre privilège, la sécurité zero trust, les défenses proactives (chasse aux menaces) et d'autres bonnes pratiques doivent faire partie de votre plan de sécurité.

Si un acteur malveillant accède à vos systèmes, il peut se servir de stratégies post-infection pour exploiter tout ce qu'il trouve sur le réseau. Voici quelques petits conseils en matière de sécurité :

  1. Ne laissez pas entrer les pirates.
  2. Identifiez-les dès qu'ils pénètrent votre réseau.
  3. Sortez-les dès que possible.
  4. Nettoyez les dégâts qu'ils ont causés.
  5. Ne les laissez pas de nouveau entraver vos activités.

Cette liste n'est évidemment pas exhaustive, mais elle souligne le point essentiel : une fois la deuxième étape franchie, vous vous trouvez dans la phase de post-infection. C'est là que la segmentation du réseau, le moindre privilège et les configurations sécurisées réduiront les conséquences. Si vous disposez d'un XDR et d'un SOC-as-a-Service, votre situation post-infection est nettement améliorée.

Que faire ?

Pour conclure, revenons à nos questions initiales : quelle surface d'attaque les programmes Microsoft représentent-ils ? À quel point défendez-vous Microsoft ?

Vous devez d'abord savoir que quelque chose existe si vous voulez le sécuriser. Pour cela, vous devez mettre à jour vos inventaires, appliquer vos normes en matière d'informatique et de cybersécurité, et éliminer les technologies de l'information fantômes et malveillantes. Certains projets vous prendront plus de temps que d'autres. La mise à jour des systèmes existants est loin d'être chose aisée. Même une mesure aussi simple que la réduction des autorisations au moindre privilège peut s'avérer être un projet qui implique le soutien des parties prenantes.

Vous avez probablement mis en place un système de gestion des correctifs. Celui-ci n'a pas besoin d'être sophistiqué, il doit simplement vous permettre de vous assurer que tout est mis à jour au moment opportun. Microsoft publie régulièrement des mises à jour et des informations sur les mesures d'atténuation. Restez à l'écoute !

Le déploiement d'une solution telle que Barracuda Managed XDR est l'une des meilleures décisions à prendre. C'est un moyen particulièrement facile et rentable de déployer une sécurité proactive sur chaque vecteur de menace. Le centre opérationnel de sécurité (SOC) mondial de Barracuda offre une couverture 24 h/24, 7 j/7, 365 j/an par des analystes de sécurité disposant des informations les plus récentes sur les menaces. Ce sont eux qui scrutent en permanence vos systèmes à la recherche d'anomalies et de comportements menaçants.

Rendez-vous sur notre site Web pour en savoir plus sur Barracuda Managed XDR, et consultez ce blog pour obtenir les détails techniques des 24 heures du SOC de Barracuda après la première alerte Log4J. 

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.