Microsoft anunció recientemente que los atacantes de Solarwinds han visto su código fuente de Windows. (Normalmente, solo los clientes clave del gobierno y los socios de confianza tendrían este nivel de acceso a las "cosas" de las que está hecho Windows). Los atacantes pudieron leer, pero no cambiar, la salsa secreta del software, lo que generó preguntas y preguntas. preocupaciones de los clientes de Microsoft. ¿Significaba esto, quizás, que los atacantes podían inyectar procesos de puerta trasera en los procesos de actualización de Microsoft?
Tout d’abord, un peu d’histoire sur l’attaque Solarwinds, également connue sous le nom de Solorigate : un attaquant s’est introduit dans une société d’outils de gestion/surveillance à distance et a pu s’injecter dans le processus de développement et construire un portail. Volé. Lorsque le logiciel a été mis à jour à l'aide des processus de mise à jour normaux mis en œuvre par Solarwinds, le logiciel piraté a été déployé sur les systèmes des clients, notamment de nombreuses agences gouvernementales américaines. UU. L’attaquant a alors pu espionner silencieusement diverses activités sur ces clients.
L'une des techniques de l'attaquant consistait à falsifier des jetons d'authentification afin que le système de domaine pense qu'il obtenait des informations d'identification d'utilisateur légitimes alors qu'en réalité, les informations d'identification étaient falsifiées. Le langage SAML (Security Assertion Markup Language) est régulièrement utilisé pour transférer en toute sécurité les informations d'identification entre les systèmes. Et même si ce processus d'authentification unique peut fournir une sécurité supplémentaire aux applications, comme illustré ici, il peut permettre à des attaquants d'accéder à un système. Le processus d'attaque, connu sous le nom de vecteur d'attaque "Golden SAML", "implique que les attaquants obtiennent d'abord un accès administratif au serveur ADFS (Active Directory Federation Services) d'une organisation et volent la clé privée et le certificat de l'entreprise". signature requise. "Cela a permis un accès continu à ces informations d'identification jusqu'à ce que la clé privée ADFS soit invalidée et remplacée.
Les attaquants sont actuellement connus pour avoir utilisé des logiciels mis à jour entre mars et juin 2020, bien que diverses organisations indiquent qu'ils ciblaient sans bruit des sites en octobre 2019.
Microsoft a enquêté plus en détail et a découvert que même si les attaquants étaient incapables de s'injecter dans l'infrastructure ADFS/SAML de Microsoft, « un compte avait été utilisé pour afficher le code source dans plusieurs référentiels de code source. Le compte n'était autorisé à modifier aucun code ou système d'ingénierie, et notre enquête a confirmé qu'aucune modification n'a été apportée. "Ce n'est pas la première fois que le code source de Microsoft est attaqué ou divulgué sur le Web. En 2004, 30.000 2000 fichiers de Windows NT à Windows XNUMX ont été divulgués sur le Web par l'intermédiaire d'un tiers. Windows XP aurait été divulgué en ligne l'année dernière.
Même s'il serait imprudent d'affirmer avec autorité que le processus de mise à jour de Microsoft ne peut jamais avoir de porte dérobée, je fais toujours confiance au propre processus de mise à jour de Microsoft, même si ce n'est pas le cas. Faites confiance aux solutions de l'entreprise dès leur sortie. Le processus de mise à jour de Microsoft dépend des certificats de signature de code qui doivent correspondre ; Sinon, le système n'installera pas la mise à jour. Même lorsque vous utilisez le processus de correctif distribué dans Windows 10 appelé Optimisation de la livraison, le système récupère des parties d'un correctif provenant d'autres ordinateurs de votre réseau, ou même d'autres ordinateurs extérieurs à votre réseau, et recompile le correctif. corrigez l’entier en faisant correspondre les signatures. Ce processus garantit que vous pouvez obtenir des mises à jour de n'importe où, pas nécessairement de Microsoft, et votre ordinateur vérifiera que le correctif est valide.
Il y a eu des occasions où ce processus a été intercepté. En 2012, le malware Flame a utilisé un certificat de signature de code volé pour apparaître comme s'il provenait de Microsoft afin d'inciter les systèmes à autoriser l'installation de code malveillant. Mais Microsoft a révoqué ce certificat et renforcé la sécurité du processus de signature du code pour garantir l'arrêt du vecteur d'attaque.
La politique de Microsoft consiste à supposer que son code source et son réseau sont déjà compromis et a donc une philosophie de « violation présumée ». Ainsi, lorsque nous recevons des mises à jour de sécurité, nous ne recevons pas seulement des correctifs sur ce que nous savons ; Je vois souvent de vagues références à des fonctionnalités de sécurité et de renforcement supplémentaires qui aident les utilisateurs à avancer. Prenez, par exemple, KB4592438. Sorti pour le 20H2 en décembre, il incluait une vague référence aux mises à jour visant à améliorer la sécurité lors de l'utilisation des produits Microsoft Edge Legacy et Microsoft Office. Bien que la plupart des mises à jour de sécurité mensuelles traitent spécifiquement d'une vulnérabilité signalée, certains éléments rendent difficile aux attaquants d'utiliser des techniques connues à des fins nuisibles.
Les versions de fonctionnalités augmentent souvent la sécurité du système d'exploitation, bien que certaines protections nécessitent une licence Microsoft 365 Enterprise appelée licence « E5 ». Mais vous pouvez toujours utiliser des techniques de protection avancées, mais avec des clés de registre manuelles ou en modifiant les paramètres de stratégie de groupe. Un exemple de ceci est un groupe de paramètres de sécurité conçus pour réduire la surface d'attaque ; utilise divers paramètres pour empêcher les actions malveillantes de se produire sur votre système.
Mais (et c'est un grand mais), définir ces règles nécessite d'être un utilisateur avancé. Microsoft considère que ces fonctionnalités s'adressent davantage aux entreprises et aux entreprises et n'expose donc pas les paramètres dans une interface facile à utiliser. Si vous êtes un utilisateur avancé et que vous souhaitez consulter ces règles de réduction de la surface d'attaque, ma recommandation est d'utiliser l'outil GUI PowerShell appelé GUI ASR Rules PoSH pour définir les règles. Définissez d'abord les règles sur « audit » plutôt que de les activer afin que vous puissiez d'abord examiner l'impact sur votre système.
Vous pouvez télécharger l'interface graphique depuis le site github et vous verrez ces règles répertoriées. (Notez que vous devez exécuter en tant qu'administrateur : cliquez avec le bouton droit sur le fichier .exe téléchargé et cliquez sur Exécuter en tant qu'administrateur.)
<p>Copyright © 2021 IDG Communications, Inc.</p>