L'authentification multi-facteurs (multi-factor authentication en anglais, MFA) est aujourd'hui vivement conseillé. Les mots de passe ne suffisent plus pour valider l'identité des utilisateurs et l'authentification multi-facteurs s'est avéré être le meilleur moyen de minimiser le risque d'attaques basées sur l'identité. Vous devez utiliser le MFA pour sécuriser tous les accès à vos systèmes d'entreprise les plus sensibles et les plus critiques - si vous en avez la possibilité, implémentez-le.
Cependant, toutes les solutions MFA n'ont pas été créées à armes égales.
À l'origine, les solutions MFA étaient conçues pour les VPN, puis étendues pour prendre en charge des systèmes spécifiques. Elles ont été conçus pour être mis en œuvre un système à la fois. Dans les réseaux dynamiques et complexes d'aujourd'hui, où il faut sécuriser l'accès de tout utilisateur à tout actif sensible et critique - cette approche n'est plus pratique. Les défis de mise en œuvre laissent trop de systèmes sensibles sans protection. Il suffit d'un seul système non protégé pour activer une violation. Une fois qu'un attaquant a compromis un système et a pris pied dans le réseau, il peut utiliser de nombreuses techniques pour élever ses privilèges et se propager à travers le réseau jusqu'à ce qu'un système cible soit atteint.
Et même si vous avez implémenté un MFA - vos systèmes peuvent rester exposés. Prenons par exemple la plupart des solutions MFA pour MS Windows. Celles-ci protègent généralement uniquement la connexion à la console locale et l'accès RDP. Ils ne peuvent pas ajouter une invite d'authentification secondaire si vous accédez aux outils de ligne de commande tels que PowerShell «Enter-PsSession» ou «Invoke-Command», ou aux ouvertures de session non interactives (c.-à-d. Se connecter en tant que service, se connecter en tant que lot, tâches planifiées, mappages de lecteurs , etc.).
Et devinez quoi: les pirates n'utilisent généralement pas la connexion à la console locale et n'ont pas besoin d'utiliser l'accès RDP. Les interfaces administratives mentionnées ci-dessus sont beaucoup plus faciles à exploiter.
Voici cinq façons dont les pirates peuvent contourner votre solution MFA et accéder à vos systèmes les plus sensibles, les plus précieux et les plus critiques :
1. Remote PowerShell : la communication à distance Windows PowerShell vous permet d'exécuter n'importe quelle commande Windows PowerShell sur un ou plusieurs ordinateurs distants. PowerShell Remoting vous permet d'établir des connexions persistantes, de démarrer des sessions interactives ou d'accéder à des sessions PowerShell complètes sur des systèmes Windows distants. Si la communication à distance PowerShell est activée sur la machine cible, vous pouvez utiliser les applets de commande Invoke-Command et Enter-PSsession pour exécuter une session interactive sur la machine cible. Pendant la session, les commandes que vous tapez s'exécutent sur l'ordinateur distant, comme si vous tapiez directement sur l'ordinateur distant.
2. PSExec : il s'agit d'un remplacement telnet léger qui vous permet d'exécuter des processus sur d'autres systèmes, avec une interactivité complète pour les applications de console, sans avoir à installer manuellement le logiciel sur la machine cible. Les utilisations les plus puissantes de PsExec comprennent le lancement d'invites de commande interactives sur des systèmes distants et l'activation à distance qui, autrement, n'ont pas la possibilité d'afficher des informations sur les systèmes distants. Il peut être utilisé, par exemple, pour exécuter des outils de vol d'informations d'identification comme «Invoke Mimikatz» sur la machine cible.
3. Éditeur de registre distant : comme son nom l'indique, il s'agit d'un service qui permet aux administrateurs distants (ou pirates) de se connecter à un système de bureau ou de serveur et d'afficher / modifier le registre Windows. Le registre est une base de données située dans le système d'exploitation Windows, chargée de stocker tous les paramètres de configuration pour les applications logicielles, les préférences utilisateur et plus encore. Le service d'éditeur de registre distant vous permet d'ajouter de nouvelles clés, de supprimer des clés existantes, de modifier des clés, de rechercher et d'importer ou d'exporter des clés. Étant donné que ce service peut poser un risque pour la sécurité, de nombreux experts en sécurité suggèrent fortement de restreindre l'accès ou même de désactiver la fonctionnalité si elle n'est pas requise à des fins de gestion à distance.
4. Gestion de l'ordinateur local à distance : il s'agit d'une collection d'outils qui permettent aux administrateurs (et aux pirates) de se connecter à un PC distant et de gérer les ressources locales telles que les comptes d'utilisateurs, les services et le gestionnaire de périphériques. La plupart, sinon toutes les ressources locales de Windows sont accessibles et gérées à distance à l'aide de cet ensemble d'outils intégré à l'installation de base de Windows. Ceci est très pratique et permet de gagner beaucoup de temps lors de l'assistance à distance. Il est également pratique pour les adversaires qui ont des informations d'identification avec des droits d'administrateur sur la machine distante qu'ils souhaitent gérer, car aucun MFA ne sera invité à demander une deuxième authentification.
5. Exploiter la vulnérabilité de contournement de l'écran de verrouillage (CVE-2019-9510): Divulguée en 2019, cette vulnérabilité dans le protocole RDP (Remote Desktop Protocol) de Microsoft Windows peut être exploitée par des attaquants côté client pour contourner l'écran de verrouillage sur les sessions RD (Remote Desktop). La vulnérabilité réside dans la façon dont la fonctionnalité Microsoft Windows Remote Desktop requiert que les clients s'authentifient avec l'authentification au niveau du réseau (NLA). Lorsqu'une anomalie de réseau se produit, elle pourrait déclencher une déconnexion RDP temporaire, mais lors de la reconnexion automatique, la session RDP sera restaurée dans un état déverrouillé. La session RDP sera restaurée sans tenir compte de l'état du système distant avant la déconnexion. Un attaquant peut interrompre la connectivité réseau du système client RDP, ce qui entraînera le déverrouillage de la session avec le système distant sans fournir d'informations d'identification.
Afin de garantir un accès sécurisé à toutes vos interfaces système, vous devez rechercher une solution MFA qui se concentre sur les protocoles d'authentification (comme Kerberos, NTLM, SAML, OpenID Connect et Silverfort) - plutôt qu'une solution MFA qui se concentre sur le processus d'authentification d'un système spécifique.
Lieben AHOUANSOU,
IT Security Analyst
