Microsoft a constaté une augmentation de la détection de portes dérobées basées sur des extensions de son serveur web Internet Information Services (IIS). La raison en est que les modules qui servent d’extensions à IIS sont parfaitement structurés pour camoufler un code malveillant qui passe sous la ligne radar des systèmes de détection des logiciels malveillants, y compris Microsoft Defender lui-même.
Pourquoi ? Les extensions IIS malveillantes sont programmées en C# et présentent généralement une structure logique minimale. Cela simplifie leur développement mais renforce également leur capacité de furtivité en générant le minimum d’activité nécessaire. Ils parviennent à passer inaperçus une fois qu’ils sont installés dans le système.
Mais malgré leur taille et leur fonctionnalité, ils sont capables de capturer des informations, de manipuler le trafic et d’ouvrir un shell web aux attaquants. Ils ne s’impliquent pas dans le système au-delà des domaines et des ressources du serveur web, évitant ainsi les endroits souvent visités par les logiciels malveillants.
L’article fournit des instructions sur la façon de déployer une stratégie défensive qui répond à ce cas particulier, ainsi que des indicateurs de compromission pour les extensions malveillantes connues.
Deux des bugs les plus importants de l’année sont apparus dans Office, et sont liés à de nouvelles façons d’exécuter du code dans Word ou Excel. La manipulation des appels de protocole intégrés permet l’exécution de code en dehors du contexte des macros. En janvier, nous avons encore eu des problèmes avec CVE-2021-40444 (protocole MSHTML) et en mai avec le dénommé Follina (protocole MSDT) qui permettait à nouveau l’exécution de code.
Cela a donné matière à réflexion : les macros ne sont-elles pas en train de devenir un vecteur d’attaque obsolète au profit de techniques plus sophistiquées, moins détectées et qui ont encore de beaux jours devant elles (on pense que les vulnérabilités liées à l’utilisation des protocoles intégrés dans Office vont continuer à apparaître). Mais il est intéressant de noter qu’une initiative de Microsoft a bouleversé cette idée à plusieurs reprises. En janvier, il a été annoncé que d’ici juin 2022, les macros seraient complètement bloquées pour les documents téléchargés sur le web. Et c’est ce qui s’est passé. Un message rouge beaucoup plus voyant est apparu pour tenter d’empêcher les utilisateurs d’activer les macros. Mais, juste en juillet, elle a annoncé qu’elle allait revenir sur ce changement. L’ancien « contenu admissible » était de retour. Les macros comme vecteur d’attaque avaient une pierre de moins sur leur chemin. Et nous disons « avait » car moins d’une semaine après l’annonce, il a encore changé d’avis : les macros sont à nouveau désactivées par défaut sans possibilité de les activer lorsqu’un utilisateur vient d’Internet. Espérons que ça reste ainsi. Il leur a fallu 25 ans pour prendre cette décision.
Apple met en place un curieux mécanisme de sécurité pour protéger les systèmes d’exploitation mobiles de la société contre les attaques de logiciels espions sophistiqués. Il s’agit d’un mode de fonctionnement restreint qui pourrait être activé par un utilisateur s’il remarque ou soupçonne que son appareil mobile est attaqué.
Ce mode, baptisé « Lockdown », obligerait iOS à fonctionner en mode extrêmement réduit afin de réduire la zone d’exposition. Par exemple, des fonctions telles que la réception de pièces jointes dans les messages, la prévisualisation de liens, etc. ou certaines techniques d’optimisation du moteur JavaScript Webkit seraient arrêtées.
En pratique, il s’agirait évidemment de limiter l’utilisation du terminal et des applications, afin que seul un petit nombre d’utilisateurs – ceux qui pensent être la cible d’opérations d’espionnage – soit obligé de l’activer. Ce n’est pas un mode « populaire » pour les utilisateurs, car l’expérience utilisateur serait profondément affectée.
Apple s’engage ainsi à doter son système mobile d’un mode de protection destiné à un certain public restreint, mais dont l’impact médiatique est, comme nous l’avons vu à la une des journaux, important. En fait, l’entreprise offre une prime de bogue pouvant aller jusqu’à deux millions de dollars aux chercheurs qui parviendront à contourner les protections proposées par le mode Lockdown.
La société KELA a publié un rapport sur le secteur des ransomwares. Parmi de nombreuses autres constatations, ils affirment que le nombre total de victimes de ransomware (nous comprenons qu’il s’agit des gangs les plus populaires qu’ils surveillent) a considérablement diminué. De 982 au dernier trimestre de 2021 à 698 au premier trimestre de 2022.
Il est intéressant de noter que le rapport indique également que, comme lors des guerres de NetSky et de Mydoom au milieu de la première décennie, les groupes de ransomware se disputent désormais les victimes ou collaborent entre eux, ce n’est pas encore clair. Par exemple, Conti a été détecté en train de compromettre une entreprise américaine en janvier. En mars, Alphv a déclaré qu’elle l’avait également attaquée. En avril, Avos a publié à son tour les mêmes preuves de détournement qu’Alphv et le même fichier volé que Conti avait précédemment partagé.
Se battent-ils entre eux, collaborent-ils et partagent-ils leur butin, s’agit-il de simple marketing, en volant les succès des autres, ou bien créent-ils de petits groupes autonomes qui passent quelque peu inaperçus de la communauté qui analyse, étudie et poursuit ces groupes ?
Un an après l’attaque contre Colonial Pipeline, l’ Administration de la sécurité des pipelines et des matières dangereuses du ministère des transports américain (PHMSA) demande à la société de payer près d’un million de dollars, au motif que le plan d’urgence en cas de ransomware n’était pas suffisant.
Le groupe Colonial transporte de l’essence, du diesel et du carburéacteur du Texas jusqu’à New York. On estime que 45 % de tout le carburant consommé sur la côte est des États-Unis passe par son réseau de pipelines. Entre les 6 et 7 mai 2021, ils ont subi une cyberattaque de type ransomware qui a utilisé les identifiants de connexion VPN d’un ancien utilisateur comme vecteur d’entrée. L’attaque a été menée par le groupe DarkSide, et l’entreprise a payé une rançon de 4,4 millions USD, dont elle a pu récupérer environ 2,3 millions USD.
L’ampleur de l’attaque a paralysé l’ensemble du système informatique de Colonial, incitant le président Joe Biden à déclarer l’état d’urgence le 9 mai. Dans cette déclaration, il a supprimé les limites imposées au transport de carburant par la route, afin d’essayer d’atténuer toute pénurie potentielle résultant de la fermeture des pipelines.
Une mauvaise planification face aux ransomwares
Un an plus tard, l’entreprise doit faire face à un autre paiement, mais cette fois sous la forme d’une amende civile de 986 400 dollars. Cette proposition d’amende de la PHMSA est le résultat d’une enquête menée entre janvier et novembre 2020, soit des mois avant la cyberattaque. Cette enquête a révélé « une incapacité probable à planifier et à préparer de manière adéquate l’arrêt et le redémarrage manuels de son réseau de pipelines ». Elle allègue en outre qu’elle a par conséquent « contribué aux impacts nationaux lorsque le pipeline est resté hors service après la cyberattaque de mai 2021 ».
Le rapport de la PHMSA énumère sept problèmes, tous associés à la gestion de la salle de contrôle. Cet atout serait l’équivalent du centre d’exploitation du réseau d’un département informatique. Les problèmes sont largement résumés dans les cinq points suivants :
Le fait de ne pas tenir des registres adéquats des tests opérationnels passés.
Le fait de ne pas tester et vérifier le fonctionnement des détecteurs d’alarme et d’anomalie.
Absence d’un plan préalable de récupération et de fonctionnement manuel en cas de défaillance du système.
Absence de vérification des processus et procédures de sauvegarde.
Absence de notification des contrôles de sécurité manquants ou temporairement supprimés.
Les incidents liés aux ransomwares ont continué à être une tendance ces dernières années. Selon un rapport d’Unit 42, le coût des ransomwares a plus que doublé en 2021 par rapport à 2020, plus de la moitié des entreprises déclarant finir par payer la rançon.
Comparaison de la demande/du paiement moyen de ransomware en 2020 et 2021.
En conclusion, une mauvaise politique de sécurité dans un environnement d’entreprise peut non seulement conduire au détournement d’informations sensibles de l’entreprise, mais aussi à des sanctions administratives dans des secteurs critiques.
