Même les employés décédés présentent un risque de sécurité lorsque les comptes sont toujours actifs

  • FrançaisFrançais


  • Une récente attaque de ransomware met en évidence les dangers des comptes superflus sur votre réseau, en particulier ceux appartenant à d’anciens employés.

    La cyber-hygiène standard exige la purge des comptes d’identification des employés d’un réseau d’entreprise une fois qu’ils quittent leur poste ou sont renvoyés de leur poste. Et dans les occasions où un employé décède, cette même pratique devrait s’appliquer. Mais selon un article de blog cette semaine de Sophos, des attaquants du gang des ransomwares Nefilim ont récemment infiltré une entreprise anonyme en partie en compromettant le compte administrateur d’un employé décédé qui était décédé trois mois plus tôt.

    Selon Sophos, les attaquants de Nefilim ont exploité une vulnérabilité du logiciel Citrix afin de détourner le compte administrateur de la personne décédée. Ils ont ensuite utilisé l’outil de post-exploitation Mimikatz pour faire glisser les informations d’identification d’un compte d’administrateur de domaine encore plus privilégié. Tirant parti de ces privilèges, les attaquants ont ensuite exfiltré des centaines de Go de données, puis, en guise de folie finale, ont déclenché le ransomware, affectant plus de 100 systèmes.

    Le gang Nefilim impliqué dans cette affaire est généralement connu pour se livrer à des attaques ciblées à double extorsion (c’est-à-dire le cryptage et la fuite de données), en utilisant un programme de ransomware dérivé d’un malware précédent qu’ils avaient utilisé appelé Nemty. L’équipe de réponse rapide de Sophos a été appelée pour enquêter sur l’attaque.

    Le malheureux incident présente des leçons importantes pour les entreprises, notamment les équipes informatiques / sécurité et le service des ressources humaines. Pour commencer, les comptes authentifiés ne doivent pas rester inactifs ou non surveillés sur un réseau, aucun titulaire de compte responsable ne pouvant prendre des mesures correctives en cas de connexion suspecte ou d’autres signes d’activité cybercriminelle.

    Dans l’exemple décrit par Sophos, le compte n’a pas été entièrement abandonné, car l’entreprise l’utilisait toujours pour certains services non spécifiés. Cependant, les experts disent qu’il y avait des options moins risquées disponibles.

    «Il n’y a aucune raison de garder ces comptes actifs», a déclaré Jeff Barker, vice-président du marketing produit chez Illusive. «Ceci est un exemple de l’impact d’une mauvaise hygiène des titres de compétences. Les attaquants exploitent des informations d’identification inutiles comme celle-ci pour se déplacer latéralement dans un environnement et atteindre leurs objectifs. »

    “Cela semble une idée et une situation étranges de garder un compte personnel hautement privilégié d’un ancien collègue en cours d’exécution parce qu’il est utilisé pour des services essentiels dans une entreprise, mais la réalité est que cela se produit tout le temps”, a déclaré Dirk Schrader, vice-président mondial à New Net Technologies (NNT). «C’est la dérive habituelle entre« faire avancer les choses »en raison de la pression de l’entreprise et« travailler le long des processus »de l’entreprise où les employés commencent à utiliser leurs propres comptes. L’excuse est toujours “nous changerons cela plus tard”. »

    Dans son article de blog, Sophos suggère un compromis: «Si une organisation a vraiment besoin d’un compte après que quelqu’un a quitté l’entreprise, elle doit mettre en place un compte de service et refuser les connexions interactives pour empêcher toute activité indésirable. Ou, s’ils n’ont pas besoin du compte pour autre chose, désactivez-le et effectuez régulièrement des audits d’Active Directory. »

    En outre, il existe plusieurs produits de sécurité qui permettent à une organisation d’utiliser des comptes partagés pour des services sans divulguer d’informations d’identification, a ajouté Marcus Hartwig, responsable des analyses de sécurité chez Vectra.

    Un autre point important à retenir de cet incident est d’éviter les comptes d’administrateur de domaine inutiles qui, s’ils sont compromis, pourraient donner aux attaquants les clés de votre royaume.

    «Les gens partent du principe qu’une personne est un cadre ou est responsable du réseau qu’elle doit utiliser un compte d’administrateur de domaine. Ce n’est pas vrai et c’est dangereux », a déclaré Peter Mackenzie, responsable de la réponse rapide chez Sophos, cité dans le billet de blog. «Aucun compte avec des privilèges ne doit être utilisé par défaut pour un travail qui ne nécessite pas ce niveau d’accès. Les utilisateurs doivent passer à l’utilisation des comptes requis en cas de besoin et uniquement pour cette tâche. »

    Sophos recommande également aux entreprises de définir leurs stratégies d’audit Active Directory pour «surveiller l’activité du compte administrateur ou si un compte est ajouté au groupe d’administration du domaine».

    Barker a déclaré que des experts en sécurité illusoires avaient déjà évalué la surface d’attaque d’un cabinet d’avocats et trouvé plus de 1500 administrateurs de domaine dans un réseau de 4000 machines. “Laissez cela pénétrer – ce que cela signifie, c’est que plus d’une machine sur trois avait les informations d’identification utilisateur les plus puissantes accessibles à n’importe quel attaquant”, a-t-il déclaré, notant que les informations d’identification d’administrateur inutiles et mises en cache fournissent du carburant à l’attaquant pour se déplacer latéralement à l’intérieur. l’environnement.

    Alors que les ressources humaines doivent être le principal service dans la vérification de toute utilisation des comptes après le départ d’un employé, Schrader a déclaré qu’une meilleure coordination entre les ressources humaines et les équipes informatiques / sécurité et de gestion d’une entreprise contribuerait grandement à améliorer les pratiques de cyberhygiène.

    «Comme ces déconnexions se produisent trop souvent, la meilleure façon de les surmonter est de s’asseoir ensemble et de visualiser les dépendances intégrées dans les processus métier du point de vue de la direction générale, de l’informatique / sec, des RH et des responsables des unités commerciales. Cela conduit à une solide mise en place de la cyber-résilience », a déclaré Schrader.

    Hartwig voit des progrès à cet égard, reconnaissant une grande déconnexion entre le service informatique et le service des ressources humaines dans le passé, mais soulignant les progrès de nombreuses organisations qui «abattent ce mur et examinent le système RH pour fournir la source de vérité aux deux employés. et les entrepreneurs concernant l’accès aux services et les autorisations individuelles. »

    «En fin de compte, si une personne ne fait pas partie du système RH, elle ne devrait pas avoir de compte», a-t-il ajouté.

    Sophos n’a pas été en mesure de partager des détails sur la chronologie de l’attaque afin de préserver la confidentialité de l’entreprise concernée.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *