Monthly Threat Report Août 2024: Un mois à l'impact mondial
Vade
—21 août 2024
—10 min de lecture
Le Monthly Threat Report by Hornetsecurity vous donne des informations mensuelles sur les tendances de sécurité M365, les menaces basées sur les emails et des informations sur les événements actuels dans le domaine de la cybersécurité. Cette édition du rapport mensuel sur les menaces se concentre sur les données du mois de juillet.
Ce que vous allez découvrir ce mois
● L'incident CrowdStrike continue d'avoir des retombées dans le secteur de la cybersécurité.
● En réponse directe à l'incident CrowdStrike, Microsoft apporte des modifications et des conseils sur l'accès au noyau du système d'exploitation.
● Au cours du mois dernier, des discussions ont eu lieu sur les réglementations en matière de cybersécurité et sur la possibilité qu'un incident comme celui de CrowdStrike se reproduise.
● Une nouvelle attaque de type AI Jailbreak, connue sous le nom d'attaque Skeleton Key, est en cours et permet aux utilisateurs de générer des contenus normalement censurés.
● Il existe une nouvelle vulnérabilité critique dans le VMware ESXi Hypervisor qui permet de contourner l'authentification. Broadcom a publié un correctif.
● HealthEquity, un fournisseur américain de comptes d'épargne santé, a été victime d'une violation des données concernant 4,5 millions de personnes.
● Le rapport de ce mois-ci contient des informations sur le groupe d'hacktivistes Anonymous Sudan, notamment sur ses tactiques, techniques et procédures.
● Ce rapport contient également des commentaires sur la cybersécurité des Jeux olympiques.
Incidents majeurs et événements de l'industrie
CrowdStrike
L'actualité technologique du dernier mois a bien sûr été dominée par CrowdStrike. Bien qu'il y ait maintenant des indications qu'il ne s'agissait pas d'un incident limité à Windows, la presse technique s'est emparée de l'information selon laquelle « seulement » 1 % des machines Windows étaient touchées, selon Microsoft. Il s'avère toutefois que les machines qui constituent ce 1 % sont TRÈS importantes. CrowdStrike étant une suite logicielle destinée aux entreprises, quelques grands noms ont été lourdement touchés, notamment :
● Delta Airlines
● American Airlines
● Air-France-KLM
● The Royal Surrey Hospital in the UK
● UK National Health Service (NHS)
● Allianz
● NBC Universal
● Et bien d'autres encore...
L'impact a été tel que Delta Airlines, à elle seule, a annulé plus de 5 000 vols, et le PDG de Delta affirme que les dommages s'élèvent à plus de 500 millions d'euros. The Royal Surrey Hospital a dû suspendre les traitements par radiographie, tandis que le NHS a déclaré que la majorité des cabinets médicaux étaient touchés. En résumé, ce problème a eu des conséquences humaines très concrètes.
Que s'est-il passé ?
Le 19 juillet, CrowdStrike a publié une mise à jour de Falcon Sensor, qui fait partie de la plateforme Falcon CrowdStrike et qui sert de solution EDR (endpoint, detection, and response). Selon CrowdStrike, la mise à jour contenait un bug qui a provoqué une lecture de mémoire hors limites, ce qui a au final entraîné un BSOD (un écran d’erreur bleu). Pour citer CrowdStrike :
"Lorsqu'il a été reçu par le capteur et chargé dans le Content Interpreter, le contenu problématique du Channel File 291 a entraîné une lecture de mémoire hors limites qui a déclenché une exception. Cette exception inattendue n'a pas pu être gérée de manière adéquate, ce qui a entraîné un plantage du système d'exploitation Windows (BSOD)."
CrowdStrike opère au niveau du noyau du système d'exploitation Windows et, en tant que tel, tout bug de cette ampleur a des conséquences néfastes pour le système en place. Pour rétablir les systèmes affectés, de NOMBREUSES machines ont dû être manipulées manuellement et des opérations de rétablissement ont dû être menées.
CrowdStrike doit assumer la responsabilité non seulement parce que c'est son nom qui figure sur le produit, mais aussi parce que de nombreux acteurs du secteur se sont interrogés sur la bonne conduite des tests d'assurance qualité pour cette mise à jour. CrowdStrike renvoie la responsabilité de la situation. L’entreprise affirme que c'est un bug dans le logiciel qu'elle utilise pour les tests d'assurance qualité qui a permis au correctif logiciel contenant le bug d'être déployé.
Microsoft inclus dans l’accusation ?
On a beaucoup parlé dans les médias technologiques du fait que Microsoft serait également responsable du problème. Cela est principalement dû au fait qu'il permet à des fournisseurs tiers d'accéder au noyau en cours d'exécution. Sans cela, cet incident particulier n'aurait pas eu lieu.
Microsoft a décidé de rejeter la responsabilité de cette autorisation d'accès au noyau sur les réglementations de l'Union européenne. Malgré les accusations, il est clair que certaines choses doivent être améliorées pour éviter une nouvelle défaillance de cette ampleur.
Que font CrowdStrike et Microsoft en réponse à cet incident ?
En réponse à cet incident, CrowdStrike et Microsoft ont tous deux annoncé une série de changements qui devraient avoir un effet positif.
Pour citer la section sur l'amélioration des tests du Crowdstike's Remediation Hub, CrowdStrike va :
● Améliorer les Rapid Response Content en utilisant des types de tests tels que :
○ Test des développeurs locaux
○ Test de mise à jour du contenu et de rollback
○ Test de stress, fuzzing et fault injection
○ Test de stabilité
○ Test de l'interface du contenu
○ Ajout de contrôles de validation supplémentaires au Content Validator for Rapid Response Content. Un nouveau contrôle est en cours pour éviter que ce type de contenu problématique ne soit déployé à l'avenir.
○ Améliorer la gestion des erreurs dans le Content Interpreter.
Les améliorations proposées par Microsoft sont les suivantes :
● Fournir des conseils, des procédures et des technologies pour rendre plus sûre la mise à jour des produits de sécurité.
● Réduire la nécessité d'utiliser des pilotes de noyau pour accéder à des données de sécurité importantes.
● Améliorer les capacités d'isolation et de lutte contre le piratage grâce à des technologies telles que nos enclaves VBS récemment présentées.
● Permettre des approches de confiance zéro comme l'attestation de haute intégrité qui fournit une méthode pour déterminer l'état de sécurité de la machine sur la base de l'état des fonctions de sécurité natives de Windows.
Les retombées dans l'industrie de la sécurité
Même si l'industrie a largement résolu le problème, il y a eu et il y aura encore des retombées. Par exemple, des groupes d'acteurs malveillants tentent déjà d'exploiter le chaos et s'en servent activement pour des opérations de phishing. La menace d'attaques connexes mise à part, cet incident a braqué les projecteurs sur la communauté de la cybersécurité. Avec des pertes en hausse, cet incident va-t-il menacer la confiance que les DSI, les RSSI et les équipes dirigeantes accordent aux logiciels de sécurité ? Certains les considéreront-ils comme trop dangereux à utiliser et ne valant pas la peine de prendre des risques ?
Même si, de manière réaliste, toute discussion de ce type risque d'être de courte durée, vous pouvez être sûr que ces questions sont posées. Il appartiendra à ceux qui travaillent dans le domaine de la sécurité de renforcer cette confiance dans les jours et les semaines qui arrivent. De plus, vous pouvez être sûr que certains gouvernements sont déjà en train de discuter de la réglementation. Cette dernière est d’ailleurs déjà débattue dans les cercles technologiques.
Autres ressources sur l'incident CrowdStrike
Si vous souhaitez plus d'informations sur ce sujet, vous pouvez consulter l’épisode du Security Swarm Podcast qui traite de la volonté d'innover à tout prix dans la technologie et de son impact négatif sur la sécurité. Il s'agit d'une discussion annexe, mais qui est pertinente compte tenu de l'incident de CrowdStrike.
Nouvelle attaque AI Jailbreak : Skeleton Key
Un certain nombre de AI Jailbreaks circulent aujourd'hui dans la communauté et permettent aux utilisateurs de contourner certains garde-fous éthiques des modèles de langage les plus répandus. La méthode « DAN » est sans doute la plus connue et celle qui existe depuis le plus longtemps. Bien qu'elle fonctionne encore en partie aujourd’hui, elle n'est plus aussi efficace qu'elle l'était autrefois. Il existe également le concept d'attaque crescendo. Dans le cadre d'une attaque crescendo, il s'agit essentiellement d'attaquer le modèle petit à petit en lui demandant de divulguer un peu plus d'informations jusqu'à ce qu'il finisse par vous donner ce que vous voulez. En bref, vous demandez des bribes d'informations en fonction des réponses de l'IA, au lieu d'obtenir l'objectif final en une seule fois.
Une nouvelle attaque LLC jailbreak a été mise en lumière dans une recherche récente de Microsoft, connue sous le nom d'attaque Skeleton Key. Cette attaque consiste à dire au système que vous promptez dans un contexte éducatif/académique et que, pour effectuer des recherches appropriées, vous devez obtenir des résultats non censurés. Lorsqu'un élément censuré apparaît, vous demandez au système de le fournir quand même, mais de le faire précéder de la mention « Warning ».
Ces jailbreaks continuent de mettre en évidence le fait que l'IA générative est toujours facilement exploitée par les acteurs malveillants, 18 mois après son lancement. Chez Hornetsecurity, nous avons organisé un webinaire sur les façons dont les acteurs malveillants utilisent l'intelligence artificielle, en utilisant des jailbreaks de ce type et, surtout, sur ce que cela implique pour les équipes de sécurité.
Vulnérabilité majeure d'ESXi
Broadcom, CISA et Microsoft mettent tous en garde contre une nouvelle vulnérabilité ESXI activement observée. CVE-2024-37085 est un bug de contournement d'authentification qui permet aux acteurs malveillants d'obtenir un accès non autorisé à des hôtes ESXi précédemment gérés par Active Directory (AD) en recréant un groupe AD qui avait précédemment accès, tel que « ESX ADMINS ». Même si cette séquence d'attaque nécessite que l'acteur malveillant ait obtenu suffisamment d'accès pour atteindre l’AD, le risque reste élevé en raison de l'ampleur des dommages qui peuvent être causés au niveau de l'hyperviseur pour la plupart des organisations. Cela dit, ...
Selon Microsoft, le groupe d'acteurs malveillants Storm-0506 a déjà exploité cette vulnérabilité. Voici ce qu'ils ont découvert :
Microsoft a observé que l'acteur malveillant a créé le groupe « ESX Admins » dans le domaine et y a ajouté un nouveau compte d'utilisateur. Suite à ces actions, Microsoft a observé que cette attaque a entraîné le cryptage du système de fichiers ESXi et la perte de fonctionnalités des machines virtuelles hébergées sur ESXi Hypervisor.
Les serveurs virtuels sont des cibles de choix pour les attaquants qui cherchent à introduire un ransomware dans un réseau. Lorsque l'ensemble du stockage du serveur est crypté, l'impact sur l'entreprise est bien plus important que si un seul système était touché. Plusieurs machines virtuelles hébergées sont souvent touchées, ce qui accroît la pression sur l'organisation ciblée.
Si vous ne l'avez pas encore fait, il est fortement recommandé d'installer le correctif de sécurité.
Fuite de données dans le domaine de la santé
Encore un mois où le système de santé américain est à nouveau victime d'une violation de données privées à grande échelle. Health Equity, un fournisseur de comptes d'épargne santé (Health Savings Account - HSA), a été ciblé par des acteurs malveillants qui ont pu récupérer les dossiers de 4,5 millions de personnes dans « un référentiel de données non structurées en dehors de nos systèmes centraux ». En d'autres termes, ils utilisaient un cloud storage pour le stockage des données, mais n'ont pas encore indiqué le nom du fournisseur.
Bien qu'une telle fuite de données ne soit pas rare, elle mérite d'être mentionnée car elle souligne une fois de plus que les entreprises sont dépendantes de la sécurité mise en place par le fournisseur qu'elles utilisent. Chaque système tiers intégré aux systèmes informatiques d'une entreprise doit être rigoureusement contrôlé et surveillé afin de garantir la sécurité des données de l'entreprise. Cette affaire s'ajoutera probablement à une longue liste auxquels il sera fait référence lorsque de nouvelles mesures réglementaires seront prises à propos d'entreprises technologiques opérant aux États-Unis.
Analyse de la menace
Brève analyse d'Anonymous Sudan
Chez Hornetsecurity, nous suivons et analysons régulièrement les groupes d'acteurs malveillants. L'un des groupes étudié récemment est Anonymous Sudan. Avec le nouveau format de ce rapport, certains mois pourront inclure des informations sur les activités des acteurs malveillants ou sur les Tactiques, Techniques et Procédures (TTP).
Anonymous Sudan est un collectif de cyberactivistes apparu en janvier 2023. Il s'est fait connaître par une série d'attaques visant diverses institutions et entreprises, principalement en réaction à des événements ou des actions perçus comme hostiles à l'islam ou favorables à la Russie. Le groupe tire son nom du célèbre collectif de pirates informatiques Anonymous, bien que leur affiliation réelle à ce collectif ne soit pas confirmée. Le groupe est connu pour certaines attaques très médiatisées, comme celle qui a paralysé l'infrastructure de Microsoft en juin 2023. Cette attaque a touché Azure, OneDrive et Outlook.com. Le groupe s'est également attribué le mérite pour d’autres pannes de grande ampleur, comme celle de ChatGPT en novembre 2023.
Tactiques / Outils
Anonymous Sudan privilégie les attaques DDoS. Ils ne se contentent pas d'un seul type d'attaque DDoS. Le groupe est connu pour mener des attaques DDoS de différents types, notamment :
● HTTP Floods
● SYN Floods
● UDP Floods
● ICMP Floods
Anonymous Sudan semble privilégier ce type d'attaque en raison de l'impact important qu'elle peut avoir. La mise hors service d'un service suffisamment important fait la une des journaux et leur permet de diffuser leur message hacktiviste.
Techniques
Comme nous l'avons mentionné, Anonymous Sudan semble privilégier les attaques DDoS. Pour faciliter ces attaques, le groupe est connu pour utiliser Godzilla / Skynet Botnet(s). Ces botnets utilisent un grand nombre d'appareils infectés à travers le monde pour envoyer du trafic vers la cible, en incorporant souvent divers types de méthodes d'attaque, comme celles mentionnées ci-dessus, pour maximiser les dommages et amplifier l'attaque.
Procédures
Bien que nous n'ayons pas d'informations précises sur les stratégies internes utilisées par le groupe pour lancer ses attaques DDoS, nous pouvons supposer qu'il s'agit d'une variante proche d'autres attaques DDoS.
Si vous souhaitez en savoir plus, n'hésitez pas à consulter notre article de blog ici.
Plus d'informations sur Anonymous Sudan
Si vous souhaitez en savoir plus, le groupe a fait l'objet d'un épisode du Security Swarm Podcast.
Comment les Jeux olympiques sont-ils ciblés par les acteurs malveillants ?
Les cybermenaces commencent à devenir monnaie courante à l'occasion des Jeux olympiques. Nous avons vu ces dernières années comment les Jeux olympiques ont été pris pour cible par des acteurs malveillants, notamment d'États-nations. Nous avons même vu des cas où des États-nations ont mené des opérations sous faux drapeau dans le but de rejeter la responsabilité de ces attaques sur d'autres pays. Cette année ne semble pas différente des autres.
N’étant pas des experts en géopolitique, nous nous en tiendrons ici aux questions de cybersécurité. Le résultat souhaité pour ces opérations ressemble fortement au résultat recherché par des attaques comme celles que nous venons d'évoquer avec Anonymous Sudan. Les États-nations utilisent ces attaques contre les Jeux olympiques pour envoyer un message, soit directement, soit indirectement. Andy Syrewicze et Romain Basset de notre équipe en parlent plus en détail dans un épisode récent du Security Swarm Podcast.
Prévisions pour les mois à venir
● Il est probable que l'incident CrowdStrike continue de susciter des discussions sur la réglementation en matière de cybersécurité et des inquiétudes infondées sur la stabilité des systèmes de sécurité.
● Considérant la gravité de la récente vulnérabilité d'ESXi, il est possible que d'autres organisations soient touchées.
● Les Jeux olympiques s'achèveront avant notre prochain rapport. Une fois ceux-ci terminés, nous pourrons savoir comment les Jeux ont été ciblés et les impacts potentiels des attaques.
Recommandations mensuelles
● Compte tenu de l'actualité CrowdStrike et de l'incident avec HealthEquity concernant un système tiers, c'est le bon moment pour revoir votre liste de fournisseurs et effectuer un examen de sécurité pour chacun d'entre eux si vous ne l'avez pas fait récemment.
● Si vous utilisez ESXi dans votre organisation et que vous n'avez pas installé la mise à jour de sécurité pour la récente vulnérabilité, nous vous conseillons vivement de prévoir du temps pour le faire.
À propos du Security Lab
Le Security Lab est une division de Hornetsecurity dédiée à l’analyse approfondie des menaces de sécurité les plus courantes et critiques, avec une spécialisation en sécurité des e-mails. L’équipe internationale de spécialistes en sécurité possède une vaste expérience en recherche en sécurité, ingénierie logicielle et science des données.
Une compréhension approfondie du paysage des menaces, fondée sur l’analyse pratique de virus réels, d’attaques de phishing, de logiciels malveillants et autres, est cruciale pour développer des contre-mesures efficaces. Les informations détaillées collectées par le Security Lab constituent la base des solutions de cybersécurité de nouvelle génération proposées par Hornetsecurity.