Alertes de mouvement latéral
En règle générale, les cyberattaques sont lancées contre toute entité accessible, telle qu’un utilisateur à faibles privilèges, puis se déplacent rapidement latéralement jusqu’à ce que l’attaquant accède à des ressources précieuses. Les ressources précieuses peuvent être des comptes sensibles, des administrateurs de domaine ou des données hautement sensibles. Microsoft Defender pour Identity identifie ces menaces avancées à la source tout au long de la chaîne de destruction de l’attaque et les classifie dans les phases suivantes :
- Alertes de reconnaissance et de découverte
- Alertes de persistance et d’escalade de privilèges
- Alertes d’accès aux informations d’identification
- Déplacement latéral
- Autres alertes
Pour en savoir plus sur la façon de comprendre la structure et les composants courants de toutes les alertes de sécurité Defender pour Identity, consultez Présentation des alertes de sécurité. Pour plus d’informations sur le vrai positif (TP),le vrai positif sans gravité (B-TP) et le faux positif (FP), consultez Classifications des alertes de sécurité.
Le mouvement latéral est constitué de techniques que les adversaires utilisent pour entrer et contrôler des systèmes distants sur un réseau. Le suivi de leur objectif principal nécessite souvent d’explorer le réseau pour trouver leur cible et d’y accéder par la suite. L’atteinte de leur objectif implique souvent de faire pivoter plusieurs systèmes et comptes à gagner. Les adversaires peuvent installer leurs propres outils d’accès à distance pour accomplir le mouvement latéral ou utiliser des informations d’identification légitimes avec des outils de système d’exploitation et de réseau natifs, qui peuvent être plus furtifs. Microsoft Defender pour Identity peuvent couvrir différentes attaques de passage (passer le ticket, passer le hachage, etc.) ou d’autres exploitations contre le contrôleur de domaine, comme PrintNightmare ou l’exécution de code à distance.
Tentative d’exploitation suspectée sur le service Spouleur d’impression Windows (ID externe 2415)
Gravité : élevée ou moyenne
Description :
Les adversaires peuvent exploiter le service Spouleur d’impression Windows pour effectuer des opérations de fichiers privilégiés de manière incorrecte. Un attaquant qui a (ou obtient) la possibilité d’exécuter du code sur la cible et qui exploite correctement la vulnérabilité peut exécuter du code arbitraire avec des privilèges SYSTÈME sur un système cible. Si elle est exécutée sur un contrôleur de domaine, l’attaque permet à un compte non administrateur compromis d’effectuer des actions sur un contrôleur de domaine en tant que SYSTEM.
Cela permet à tout attaquant qui entre dans le réseau d’élever instantanément les privilèges à l’administrateur de domaine, de voler toutes les informations d’identification de domaine et de distribuer d’autres programmes malveillants en tant que Administration de domaine.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services à distance (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
- En raison du risque de compromission du contrôleur de domaine, installez les mises à jour de sécurité pour CVE-2021-34527 sur les contrôleurs de domaine Windows, avant d’installer sur les serveurs membres et les stations de travail.
- Vous pouvez utiliser l’évaluation de la sécurité intégrée de Defender pour Identity qui effectue le suivi de la disponibilité des services spouleur d’impression sur les contrôleurs de domaine. En savoir plus.
Tentative d’exécution de code à distance sur DNS (ID externe 2036)
Gravité : moyen
Description :
11/12/2018 Microsoft a publié CVE-2018-8626, annonçant qu’une vulnérabilité d’exécution de code à distance récemment découverte existe dans les serveurs DNS (Domain Name System) Windows. Dans cette vulnérabilité, les serveurs ne parviennent pas à gérer correctement les demandes. Un attaquant qui exploite correctement la vulnérabilité peut exécuter du code arbitraire dans le contexte du compte système local. Les serveurs Windows actuellement configurés en tant que serveurs DNS sont exposés à cette vulnérabilité.
Dans cette détection, une alerte de sécurité Defender pour Identity est déclenchée lorsque des requêtes DNS soupçonnées d’exploiter la vulnérabilité de sécurité CVE-2018-8626 sont effectuées sur un contrôleur de domaine sur le réseau.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Tactique MITRE secondaire | Élévation de privilèges (TA0004) |
| Technique d’attaque MITRE | Exploitation pour l’escalade de privilèges (T1068),Exploitation des services à distance (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Correction suggérée et étapes de prévention :
- Vérifiez que tous les serveurs DNS de l’environnement sont à jour et corrigés par rapport à CVE-2018-8626.
Suspicion d’usurpation d’identité (pass-the-hash) (ID externe 2017)
Nom précédent : Usurpation d’identité à l’aide d’une attaque Pass-the-Hash
Gravité : élevée
Description :
Pass-the-Hash est une technique de mouvement latéral dans laquelle les attaquants volent le hachage NTLM d’un utilisateur à partir d’un ordinateur et l’utilisent pour accéder à un autre ordinateur.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Utiliser un autre matériel d’authentification (T1550) |
| Sous-technique d’attaque MITRE | Passer le hachage (T1550.002) |
Suspicion d’usurpation d’identité (pass-the-ticket) (ID externe 2018)
Nom précédent : Usurpation d’identité à l’aide d’une attaque Pass-the-Ticket
Gravité : élevée ou moyenne
Description :
Pass-the-Ticket est une technique de mouvement latéral dans laquelle les attaquants volent un ticket Kerberos d’un ordinateur et l’utilisent pour accéder à un autre ordinateur en réutilisant le ticket volé. Dans cette détection, un ticket Kerberos est vu utilisé sur deux ordinateurs différents (ou plus).
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Utiliser un autre matériel d’authentification (T1550) |
| Sous-technique d’attaque MITRE | Passer le ticket (T1550.003) |
Suspicion de falsification de l’authentification NTLM (ID externe 2039)
Gravité : moyen
Description :
En juin 2019, Microsoft a publié la vulnérabilité de sécurité CVE-2019-1040, annonçant la découverte d’une nouvelle vulnérabilité de falsification dans Microsoft Windows, lorsqu’une attaque « man-in-the-middle » est en mesure de contourner la protection NTLM MIC (Contrôle d’intégrité des messages).
Les acteurs malveillants qui exploitent correctement cette vulnérabilité ont la possibilité de passer à une version antérieure des fonctionnalités de sécurité NTLM et peuvent créer des sessions authentifiées pour le compte d’autres comptes. Les serveurs Windows non corrigés sont exposés à cette vulnérabilité.
Dans cette détection, une alerte de sécurité Defender pour Identity est déclenchée lorsque des demandes d’authentification NTLM soupçonnées d’exploiter une vulnérabilité de sécurité identifiée dans CVE-2019-1040 sont effectuées sur un contrôleur de domaine dans le réseau.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Tactique MITRE secondaire | Élévation de privilèges (TA0004) |
| Technique d’attaque MITRE | Exploitation pour l’escalade de privilèges (T1068),Exploitation des services à distance (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
Forcer l’utilisation de NTLMv2 scellé dans le domaine, à l’aide de la stratégie de groupe Sécurité réseau : niveau d’authentification LAN Manager . Pour plus d’informations, consultez instructions sur le niveau d’authentification de LAN Manager pour définir la stratégie de groupe pour les contrôleurs de domaine.
Vérifiez que tous les appareils de l’environnement sont à jour et corrigés par rapport à CVE-2019-1040.
Suspicion d’attaque de relais NTLM (compte Exchange) (ID externe 2037)
Gravité : moyenne ou faible si elle est observée à l’aide du protocole NTLM v2 signé
Description :
Un compte d’ordinateur Exchange Server peut être configuré pour déclencher l’authentification NTLM avec le compte d’ordinateur Exchange Server sur un serveur HTTP distant, exécuté par un attaquant. Le serveur attend que la communication Exchange Server relaye sa propre authentification sensible à n’importe quel autre serveur, ou encore plus intéressant à Active Directory via LDAP, et récupère les informations d’authentification.
Une fois que le serveur relais reçoit l’authentification NTLM, il fournit un défi qui a été créé à l’origine par le serveur cible. Le client répond au défi, en empêchant un attaquant de prendre la réponse et en l’utilisant pour poursuivre la négociation NTLM avec le contrôleur de domaine cible.
Dans cette détection, une alerte est déclenchée lorsque Defender pour Identity identifie l’utilisation des informations d’identification de compte Exchange à partir d’une source suspecte.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Tactique MITRE secondaire | Élévation de privilèges (TA0004) |
| Technique d’attaque MITRE | Exploitation pour l’escalade des privilèges (T1068),Exploitation des services distants (T1210),Man-in-the-Middle (T1557) |
| Sous-technique d’attaque MITRE | Intoxication LLMNR/NBT-NS et relais SMB (T1557.001) |
Étapes suggérées pour la prévention :
- Forcer l’utilisation de NTLMv2 scellé dans le domaine, à l’aide de la stratégie de groupe Sécurité réseau : niveau d’authentification LAN Manager . Pour plus d’informations, consultez instructions sur le niveau d’authentification de LAN Manager pour définir la stratégie de groupe pour les contrôleurs de domaine.
Suspicion d’attaque overpass-the-hash (Kerberos) (ID externe 2002)
Nom précédent : Implémentation inhabituelle du protocole Kerberos (attaque potentielle overpass-the-hash)
Gravité : moyen
Description :
Les attaquants utilisent des outils qui implémentent différents protocoles tels que Kerberos et SMB de manière non standard. Bien que Microsoft Windows accepte ce type de trafic réseau sans avertissements, Defender pour Identity est en mesure de reconnaître les intentions malveillantes potentielles. Le comportement est révélateur de techniques telles que over-pass-the-hash, brute force, et des attaques de ransomware avancées telles que WannaCry, sont utilisées.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services à distance (T1210),Utiliser un autre matériel d’authentification (T1550) |
| Sous-technique d’attaque MITRE | Passer le has (T1550.002), Passer le ticket (T1550.003) |
Suspicion d’utilisation de certificats Kerberos non fiables (ID externe 2047)
Gravité : élevée
Description :
L’attaque par certificat non autorisé est une technique de persistance utilisée par les attaquants après avoir pris le contrôle de l’organization. Les attaquants compromettent le serveur d’autorité de certification et génèrent des certificats qui peuvent être utilisés comme comptes de porte dérobée lors de futures attaques.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Tactique MITRE secondaire | Persistance (TA0003), Élévation de privilèges (TA0004) |
| Technique d’attaque MITRE | S/O |
| Sous-technique d’attaque MITRE | S/O |
Suspicion de manipulation de paquets SMB (exploitation CVE-2020-0796) - (ID externe 2406)
Gravité : élevée
Description :
12/03/2020 Microsoft a publié CVE-2020-0796, annonçant qu’une nouvelle vulnérabilité d’exécution de code à distance existe dans la façon dont le protocole Microsoft Server Message Block 3.1.1 (SMBv3) gère certaines requêtes. Un attaquant qui a réussi à exploiter la vulnérabilité peut obtenir la possibilité d’exécuter du code sur le serveur ou le client cible. Les serveurs Windows non corrigés sont exposés à cette vulnérabilité.
Dans cette détection, une alerte de sécurité Defender pour Identity est déclenchée quand un paquet SMBv3 soupçonné d’exploiter la vulnérabilité de sécurité CVE-2020-0796 est effectué sur un contrôleur de domaine dans le réseau.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services à distance (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
Si vos ordinateurs disposent de systèmes d’exploitation qui ne prennent pas en charge KB4551762, nous vous recommandons de désactiver la fonctionnalité de compression SMBv3 dans l’environnement, comme décrit dans la section Solutions de contournement .
Vérifiez que tous les appareils de l’environnement sont à jour et corrigés par rapport à CVE-2020-0796.
Connexion réseau suspecte via le protocole distant du système de fichiers de chiffrement (ID externe 2416)
Gravité : élevée ou moyenne
Description :
Les adversaires peuvent exploiter le protocole distant du système de fichiers de chiffrement pour effectuer des opérations de fichiers privilégiés de manière incorrecte.
Dans cette attaque, l’attaquant peut élever des privilèges dans un réseau Active Directory en forcant l’authentification à partir de comptes d’ordinateur et en relayant vers le service de certificats.
Cette attaque permet à un attaquant de prendre le contrôle d’un domaine Active Directory (AD) en exploitant une faille dans le protocole EFSRPC (Encrypting File System Remote Protocol) et en la chaînant avec une faille dans les services de certificats Active Directory.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services à distance (T1210) |
| Sous-technique d’attaque MITRE | S/O |
exécution de code à distance Exchange Server (CVE-2021-26855) (ID externe 2414)
Gravité : élevée
Description :
Certaines vulnérabilités Exchange peuvent être utilisées conjointement pour permettre l’exécution de code à distance non authentifié sur les appareils exécutant Exchange Server. Microsoft a également observé des activités d’implantation d’interpréteur de commandes web, d’exécution de code et d’exfiltration de données ultérieures pendant les attaques. Cette menace peut être exacerbée par le fait que de nombreuses organisations publient des déploiements Exchange Server sur Internet pour prendre en charge les scénarios mobiles et de travail à domicile. Dans la plupart des attaques observées, l’une des premières étapes prises par les attaquants après l’exploitation réussie de CVE-2021-26855, qui permet l’exécution de code à distance non authentifiée, a été d’établir un accès persistant à l’environnement compromis via un interpréteur de commandes web.
Les adversaires peuvent créer des vulnérabilités de contournement d’authentification résultant du traitement des demandes adressées à des ressources statiques en tant que demandes authentifiées sur le back-end, car les fichiers tels que les scripts et les images doivent être disponibles même sans authentification.
Configuration requise:
Defender pour Identity a besoin que l’événement Windows 4662 soit activé et collecté pour surveiller cette attaque. Pour plus d’informations sur la configuration et la collecte de cet événement, consultez Configurer la collecte d’événements Windows et suivez les instructions pour Activer l’audit sur un objet Exchange.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services à distance (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
Mettez à jour vos serveurs Exchange avec les derniers correctifs de sécurité. Les vulnérabilités sont traitées dans le Mises à jour sécurité Exchange Server de mars 2021.
Suspicion d’attaque par force brute (SMB) (ID externe 2033)
Nom précédent : Implémentation de protocole inhabituelle (utilisation potentielle d’outils malveillants tels qu’Hydra)
Gravité : moyen
Description :
Les attaquants utilisent des outils qui implémentent différents protocoles tels que SMB, Kerberos et NTLM de manière non standard. Bien que ce type de trafic réseau soit accepté par Windows sans avertissements, Defender pour Identity est en mesure de reconnaître les intentions malveillantes potentielles. Le comportement indique des techniques de force brute.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Force brute (T1110) |
| Sous-technique d’attaque MITRE | Estimation du mot de passe (T1110.001), Pulvérisation de mot de passe (T1110.003) |
Étapes suggérées pour la prévention :
- Appliquez des mots de passe complexes et longs dans le organization. Les mots de passe complexes et longs fournissent le premier niveau de sécurité nécessaire contre les futures attaques par force brute.
- Désactiver SMBv1
Suspicion d’attaque par rançongiciel WannaCry (ID externe 2035)
Nom précédent : Implémentation de protocole inhabituelle (attaque par rançongiciel WannaCry potentielle)
Gravité : moyen
Description :
Les attaquants utilisent des outils qui implémentent différents protocoles de manière non standard. Bien que ce type de trafic réseau soit accepté par Windows sans avertissements, Defender pour Identity est en mesure de reconnaître les intentions malveillantes potentielles. Le comportement est révélateur des techniques utilisées par les rançongiciels avancés, comme WannaCry.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services à distance (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
- Corrigez toutes vos machines, en veillant à appliquer les mises à jour de sécurité.
Suspicion d’utilisation du framework de piratage Metasploit (ID externe 2034)
Nom précédent : Implémentation de protocole inhabituelle (utilisation potentielle des outils de piratage Metasploit)
Gravité : moyen
Description :
Les attaquants utilisent des outils qui implémentent différents protocoles (SMB, Kerberos, NTLM) de manière non standard. Bien que ce type de trafic réseau soit accepté par Windows sans avertissements, Defender pour Identity est en mesure de reconnaître les intentions malveillantes potentielles. Le comportement indique des techniques telles que l’utilisation du framework de piratage Metasploit.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Exploitation des services à distance (T1210) |
| Sous-technique d’attaque MITRE | S/O |
Correction suggérée et étapes de prévention :
Utilisation suspecte des certificats sur le protocole Kerberos (PKINIT) (ID externe 2425)
Gravité : élevée
Description :
Les attaquants exploitent les vulnérabilités de l’extension PKINIT du protocole Kerberos à l’aide de certificats suspects. Cela peut entraîner un vol d’identité et un accès non autorisé. Les attaques possibles incluent l’utilisation de certificats non valides ou compromis, les attaques de l’intercepteur et une mauvaise gestion des certificats. Des audits de sécurité réguliers et le respect des bonnes pratiques PKI sont essentiels pour atténuer ces risques.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Technique d’attaque MITRE | Utiliser un autre matériel d’authentification (T1550) |
| Sous-technique d’attaque MITRE | S/O |
Remarque
Les alertes d’utilisation suspecte des certificats sur le protocole Kerberos (PKINIT) sont uniquement prises en charge par les capteurs Defender pour Identity sur AD CS.
Suspicion d’attaque over-pass-the-hash (type de chiffrement forcé) (ID externe 2008)
Gravité : moyen
Description :
Les attaques over-pass-the-hash impliquant des types de chiffrement forcé peuvent exploiter des vulnérabilités dans des protocoles tels que Kerberos. Les attaquants tentent de manipuler le trafic réseau, en contournant les mesures de sécurité et en obtenant un accès non autorisé. La protection contre ces attaques nécessite des configurations de chiffrement et une surveillance robustes.
Période d’apprentissage :
1 mois
MITRE :
| Tactique MITRE principale | Mouvement latéral (TA0008) |
|---|---|
| Tactique MITRE secondaire | Évasion de défense (TA0005) |
| Technique d’attaque MITRE | Utiliser un autre matériel d’authentification (T1550) |
| Sous-technique d’attaque MITRE | Passer le hachage (T1550.002), Passer le ticket (T1550.003) |