Skip to content

Les trois couleurs de SolarWinds

L’année 2020 aura été marquée par une des attaques les plus abouties dans toute l’histoire de la cybersécurité. Que l’on nomme cette attaque SolarWinds, Orion ou SunBurst, elle a permis de mettre en lumière la grande fragilité de nos défenses informatiques face à une attaque organisée. 

Il est maintenant avéré que de nombreuses sociétés spécialisées en cyber sécurité ont-elles-même subi une intrusion liée à la compromission SolarWinds – nous pouvons par exemple citer : Qualys, Palo Alto Networks, FireEye, Malwarebytes, etc. (source : https://bit.ly/39Uc8O0). 

Depuis la découverte de cette compromission de masse, de nombreux chercheurs ont tenté de décrypter toute la chaine d’infection, essayant de retracer la cinématique précise de cette attaque. 

Calendrier de l’attaque SolarWinds – Source : https://bit.ly/2Rd63Wa 

Des techniques classiques pour un impact hors norme 

L’étude des différents rapports d’experts permet de faire le point sur les différentes techniques utilisées. Il est frappant de constater que nous retrouvons ici un mélange de techniques tout à fait traditionnelles et de méthodes innovantes. Sans rentrer dans les détails nous pouvons citer les éléments marquants suivants : 

  • L’attaque possède toutes les caractéristiques d’une attaque par rebond, via une Supply Chain (ici, un fournisseur logiciel) 
  • Usage de technique d’attaque sur les mots de passe en ligne telle que le Password Guessing (source : https://zd.net/3fV3DFY
  • Usage de la technique de Kerberoasting contre Active Directory (source : https://bit.ly/2Rd63Wa
  • Passage à l’échelle vers le Cloud, depuis une attaque sur l’Active Directory local – une attaque massive envers les services en ligne utilisant les faiblesses de configuration du réseau local (source : https://bit.ly/2QeN3GA

Il est donc notable de constater l’usage massif des vulnérabilités système et des mauvaises configurations Active Directory pendant cette attaque. 

Une étude complète de la Cybersecurity & Infrastructure Security Agency (CISA) 

Devant l’ampleur exceptionnelle de cette attaque, l’agence américaine CISA a réalisé une étude complète délivrant un rapport détaillé des méthodes utilisées pendant la compromission. L’agence a analysé en profondeur la cinématique de l’attaque dans l’objectif de créer une association avec les Tactiques, Techniques et Sous-techniques du Framework MITRE ATT&CK®. 

Analyse complémentaire et caractérisation des techniques 

Forts de ces informations, nous avons créé un graphique caractérisant les différentes techniques utilisées via des couleurs, définissant les éléments suivants : 

  • Couleur rouge : techniques ou sous-techniques visant principalement Active Directory et les systèmes Windows 
  • Couleur Verte : techniques ou sous-techniques visant principalement Azure Active Directory et le Cloud public 
  • Couleur Jaune : techniques ou sous-techniques visant à la fois l’infrastructure Active Directory et le service cloud Azure Active Directory 
Graphique : Les trois couleurs de SolarWinds 

Il s’avère donc que plus de 50% des techniques utilisées visent prioritairement Active Directory. 

Comments are closed.

Download pdf

Conclusion 

L’étude post-mortem des cyber-attaques est une méthode efficace pour renforcer notre capacité de réaction face aux menaces. Le caractère exceptionnel de la compromission SolarWinds a permis à de nombreux chercheurs d’investir du temps dans cette étude de cas.  Active Directory est au centre de cette attaque, il est évident que nous devons protéger nos infrastructures d’annuaire de façon prioritaire. Nous vous invitons à consulter www.alsid.com pour apprendre comment. 

Contact us