Présentation

Ces moteurs de recherche permettent aux chercheurs en sécurité (et aux cybercriminels) de trouver des appareils connectés à Internet, tels que des serveurs, des routeurs, des caméras de sécurité, des imprimantes et d’autres appareils. Toutes les données sont indexées et permettent d’avoir des informations sur les ports ouverts, les versions de logiciels, les noms d’utilisateurs et les mots de passe par défaut.

Ces informations peuvent être utilisées pour trouver des vulnérabilités potentielles sur les appareils connectés à Internet. Dès qu’une nouvelle vulnérabilité est diffusée, il est ainsi possible de trouver quasi-instantanément des équipements vulnérables.

En 2019, des chercheurs en sécurité ont découvert que des appareils de stockage en réseau de la société Western Digital étaient exposés sur Internet en raison d’une mauvaise configuration. Les attaquants ont ensuite utilisé cette information pour effacer les données sur les appareils de stockage en réseau et exiger une rançon pour les restaurer.

En 2020, des chercheurs en sécurité ont découvert que des milliers de caméras de sécurité étaient exposées sur Internet en raison d’une mauvaise configuration. Les chercheurs ont pu trouver ces caméras en utilisant Shodan. Les attaquants ont ensuite utilisé cette information pour accéder aux caméras et surveiller les personnes à leur insu.

Les risques associés aux moteurs de recherche orientés sécurité sont nombreux. Les attaquants peuvent utiliser ces moteurs de recherche pour trouver des appareils connectés à Internet qui sont mal configurés ou qui ont des vulnérabilités connues. Les attaquants peuvent utiliser ces informations pour compromettre les appareils connectés à Internet et accéder aux réseaux d’entreprise.

Retour d’expérience

Lors d’une veille réalisée via le moteur de recherche Shodan pour détecter d’éventuels serveurs vulnérables (et ainsi notifier ainsi les structures médicales concernées), un serveur avec un logiciel de synchronisation a été découvert.

Découverte d’un serveur utilisant un protocole de synchronisation de fichiers (~sauvegarde)

L’accès à ce logiciel de synchronisation n’était pas protégé, et celui-ci contenait de nombreuses données dont des sites web, la messagerie de l’entreprise ainsi que des sauvegardes.

Analyse du protocole de synchronisation avec le logiciel nmap. Recherche des répertoires de sauvegardes (synchronisation)

Parmi les sauvegardes, la comptabilité de l’entreprise ainsi que les sites web de tous ses clients (il s’agissait d’un infogérant). Beaucoup de données étaient disponibles (dont des identifiants, des bases de données clients, etc.).

Récupération de l’ensemble des fichiers synchronisés

Malheureusement ce type de vulnérabilité est très courante et fait les choux gras des attaquants.

Il est malheureusement quasi-impossible de bloquer tous les scans issus des moteurs de recherche (adresses ip non connues, nouveaux services qui apparaissent régulièrement, etc.). Les recommandations contre ce type de moteurs de recherche sont donc les mêmes visant à sécuriser son réseau :

• Auditer son réseau régulièrement ;
• Faire des scans de vulnérabilités ;
• Utiliser un outil tel que portsentry afin de bloquer les scans de ports (première étape de la cartographie d’un réseau) ;
• Masquer les bannières logicielles (permettant d’éviter certaines attaques massives basées sur une version spécifique) ;
• Changer les identifiants et les mots de passe par défaut ;
• Appliquer des mises à jour de sécurité ;
• Utiliser des pare-feux ;
• Surveiller régulièrement les dispositifs connectés à Internet : Utiliser des outils de surveillance pour détecter les dispositifs connectés à Internet vulnérables et prenez rapidement des mesures pour les sécuriser ;
• Sensibiliser les utilisateurs.

L'article Compromission d’un SI en quelques minutes ou le danger des moteurs de recherche (1/2) a été publié en premier sur CYBERESIST .

Le point de départ est souvent le même : à partir du nom de domaine associé à l’entreprise, il y a tout d’abord une phase passive pour l’audit qui consiste à réaliser une cartographie de toutes les ressources disponibles. Celles-ci sont multiples :

• Liste des domaines
• Applications et serveurs disponibles
• Fuite de données (mots de passe, codes-source, etc.)
• Attaques de phishing en cours
• Shadow-it (équipements cachés / sites oubliés, etc.)

Plus d’infos sur notre audit d’exposition sont disponibles ici.

Parfois les informations découvertes lors de cette phase permettent d’obtenir un accès à des informations confidentielles ou de compromettre un des serveurs de l’organisation auditée. Dans le cas présent, nous allons exploiter une attaque de type credential-stuffing pour accéder à un compte de messagerie de l’entreprise.

Pour rappel les attaques par credential stuffing consiste à récupérer des identifiants volés (compromissions de sites web) qui ont été diffusés et à tenter de les ré-utiliser. Il existe de nombreux services/sites mettant à disposition ce type d’informations. Ce type d’attaque est particulièrement dangereux car il peut permettre d’accéder à des ressources protégées de l’entreprise (messagerie, serveurs, etc.)

Cinétique de l’attaque

Détails de l’attaque
Phase n°1 : Récupération de comptes piratés associés à un domaine.

Une fois ces comptes récupérés, il va s’agir de les tester.

Phase n°2 : Vérification si présence d’Office365

La seconde phase consiste à tester si l’entreprise / domaine possède bien une messagerie sur Office365.

Une fois la présence d’un webmail confirmé, reste à tester liste des logins / mdp récupérée.

Phase n°3 : Tests des comptes

Un compte valide a bien été trouvé. Reste maintenant à l’utiliser pour se connecter au webmail365.

Il s’agit d’un compte générique (certainement partagé vu le mot de passe faible).

Phase n°4 : Connexion avec le compte valide détecté

Il va s’agir maintenant de tester la combinaison valide détectée. Il est possible le compte soit protégé par une authentification forte, ce qui nous empêcherait de l’utiliser.

Pas d’authentification forte, un accès obtenu en quelques minutes à la messagerie de l’entreprise.

Le compte est de toute évidence un compte générique poubelle.

Problème même si ce compte est peu ou pas utilisé, il donne de nombreuses informations à un attaquant : l’ensemble des contacts, liste de diffusion de l’entreprise, contacts téléphoniques, etc.

Très simple pour un attaquant ensuite de faire des messages personnalisés et de viser d’autres adresses de contact.

Suite de l’attaque

Une fois ce compte obtenu, plusieurs options s’offrent aux attaquants :

• Accèder à des données sensibles de l’entreprise, telles que les informations financières, les données clients, les données de propriété intellectuelle et autres informations confidentielles.
• Envoyer des emails frauduleux à des clients (demande de paiement, obtention d’informations sensibles)
• Envoyer des emails frauduleux à d’autres employés (divulgation d’informations sensibles, faire effectuer des tâches)

Concernant la dernière possibilité (envoi d’emails frauduleux à d’autres employés de l’entreprise), c’était l’une des techniques utilisées par le gang du malware Emotet (technique du thread hi-jacking).

Recommandations

Ces recommandations sont similaires à celles déjà décrites pour se prémunir des attaques de credential-stuffing. Il va s’agir de :

• S’auditer (notre service d’audit d’exposition teste ce type d’attaque ainsi que de nombreuses autres)
• Sensibiliser les utilisateurs sur l’utilisation de gestionnaire de mots de passe et sur comment réaliser des mots de passe robustes
• Faire une ville sur les fuites de données (haveIbeenPowned)
• Appliquer l’authentification forte sur tous les comptes utilisant le webmail
  • Attention aux comptes génériques et aux comptes partagés qui ne sont souvent pas protégés correctement et représente une porte d’entrée dans le système d’informations)

L'article Compromission de Compte de Messagerie : Une Étude de Cas Révélatrice en Quelques Minutes a été publié en premier sur CYBERESIST .

Menace de plus en plus courante pour les entreprises, les attaques par credential stuffing sont une technique qui consiste à tester de nombreuses combinaisons d’identifiants et de mots de passe volés sur différents sites web, dans l’espoir de trouver une correspondance valide.

Les attaques par « Credential Stuffing » consiste à réaliser, à l’aide de logiciels ou de façon manuelle, des tentatives d’authentification massives sur des sites et services web à partir de couples identifiants/mots de passe

Problématique des identifiants / mots de passe

Les utilisateurs ont souvent de nombreux comptes en ligne : avec la multiplication des services en ligne, il devient courant pour un utilisateur d’avoir des dizaines, voire des centaines de comptes en ligne, chacun nécessitant un mot de passe différent. Il peut être tentant de réutiliser ses mots de passe pour simplifier la gestion des comptes, mais cela augmente le risque de violation de données.

Or non seulement il y a beaucoup de mots de passe à gérer mais avec le nombre de mots de passe différents pour chaque compte, il peut être difficile de tous les retenir. La réutilisation de mots de passe est donc une solution « pratique » pour les utilisateurs qui ne veulent pas avoir à se souvenir de plusieurs mots de passe.

Or en cas d’utilisation d’un même mot de passe pour plusieurs comptes en ligne, en cas de compromission d’un de ces comptes, les pirates ont accès à tous les autres comptes utilisant le même mot de passe.

Fonctionnement

Certains services / forums sur le darknet proposent aux attaquants une liste de login / mot de passe utilisateurs. Ces listes sont issues de fuites de données / piratages / phishing / attaques automatisées.

De nombreuses listes sont partagées sur des sites / services connus des attaquants.

En récupérant ces listes, il va être possible pour les attaquants de tester ces combinaisons de login / mots de passe et voir si une d’elles est valide.

Il existe certains outils qui permettent de tester un login/ mot de passe sur différents services simultanément.

Les conséquences

Une attaque réussie de credential stuffing peut avoir des conséquences graves pour les entreprises ou pour un utilisateur. Lorsqu’un attaquant réussit à accéder à un compte utilisateur, il peut

• Réaliser des opérations sur le compte de l’utilisateur ;
• Accès à des données sensibles de l’entreprise, telles que les informations financières, les données clients, les données de propriété intellectuelle et autres informations confidentielles ;
• Envoi d’emails frauduleux à des clients (demande de paiement, obtention d’informations sensibles)
• Envoi d’emails frauduleux à d’autres employés (divulgation d’informations sensibles, faire effectuer des tâches) :
  • C’est d’ailleurs une des techniques préférées utilisée par les groupes de rançonlogiciels pour diffuser des malwares (qui vont permettre plus tard de compromettre le réseau interne).

Attention car les entreprises peuvent également faire face à des poursuites judiciaires pour avoir laissé des données sensibles exposées et pour ne pas avoir empêcher ce type d’attaque[1].

Cas d’actualités

Quelques cas d’actualité récents avec ce type d’attaque.

En février 2023, le service de streaming musical Tidal a été victime d’une attaque de Credential Stuffing qui a entraîné la fuite de données d’utilisateur, notamment les noms d’utilisateur et les mots de passe. Les pirates ont ensuite utilisé ces informations pour se connecter aux comptes compromis et diffuser du contenu illégal.

En mars 2023, un pirate informatique a utilisé des attaques de Credential Stuffing pour prendre le contrôle de plus de 12 000 comptes de messagerie Microsoft Office 365 appartenant à des établissements d’enseignement aux États-Unis. Les comptes compromis ont été utilisés pour envoyer des spams et des messages de phishing.

Plus récemment, de nombreux utilisateurs du service Vinted ont vu leur cagnottes siphonnée[2]. La cagnotte (ou « porte-monnaie ») de Vinted, permet normalement aux membres de récupérer de manière sécurisée le fruit de leurs ventes et de pouvoir acheter avec ce même pactole. S’ils le souhaitent, les utilisateurs peuvent également transférer le montant de leur cagnotte sur leur compte bancaire. Le modus operandi semble être des attaques par réutilisation de mots de passe.

Recommandations

Plusieurs stratégies pour lutter contre ce type d’attaque.

Tout d’abord, il est important de sensibiliser les employés aux risques de ces attaques, et de leur fournir des formations pour apprendre à créer des mots de passe forts et à détecter les tentatives de phishing.

Faire une veille sur des services de fuites de données tels que HaveIbeenpowned est également intéressant.

Surtout, il est surtout nécessaire d’implémenter (quand c’est possible) la vérification en deux étapes (OTP). Ainsi même en cas de découverte d’un compte avec un mot de passe connu, l’attaquant ne sera pas en mesure de se connecter au compte.

Dans les autres mesures techniques, le blocage de compte après un certain nombre de tentatives pourrait paraître être une bonne idée, mais n’est pas efficace. Avec les attaques de ré-utilisation de mots de passe, seuls quelques mots de passe sont testés. De plus, les attaquants utilisent des réseaux de machines infectées pour effectuer leurs tests (et contournent ainsi le blocage associé à une adresse IP par exemple[4]).

Conclusion

il s’agit d’une menace sérieuse pour les entreprises mais il existe des mesures efficaces pour prévenir ces attaques. En sensibilisant les employés et en mettant en place des mesures de sécurité appropriées (en particulier l’authentification forte), les entreprises peuvent limiter ce nombre d’attaques.

Néanmoins, attention aux comptes génériques ou partagés, souvent non protégés. Un exemple de retour d’expérience est disponible ici. Celui-ci est notre retour d’expérience avec notre service « audit d’exposition » et il a démontré comment, en quelques minutes, un attaquant aurait pu compromettre un compte de messagerie pour effectuer des attaques plus évoluées.

Un retour d’expérience sur l’exploitation de cette attaque est disponible ici.

[1]

[2

L'article Introduction aux attaques de Credential Stuffing a été publié en premier sur CYBERESIST .