En septembre 2021, des experts en sécurité numérique ont découvert une attaque généralisée visant les utilisateurs de Windows. L'attaque utilisait des logiciels malveillants pour lancer une fausse alerte de certificat expiré sur des sites web qui incitaient les utilisateurs à télécharger une mise à jour, qui contenait en fait une adresse malveillante software permettant aux pirates d'accéder à distance aux ordinateurs infectés.
Voici un aperçu de la manière dont l'attaque a été exécutée, ce que nous savons jusqu'à présent de son impact et des conseils pour protéger votre organisation contre des menaces de ce type à l'avenir.
Au cœur de l'attaque : Comment les pirates ont créé de fausses alertes de certificats expirés
L'attaque visait Windows Internet Information Services (IIS), le serveur web de Microsoft installé sur toutes les versions de Windows depuis Windows 2000, XP et Server 2003.
Lorsque les utilisateurs vulnérables visitaient certains sites, ils voyaient apparaître une page d'erreur contenant une note sur un risque de sécurité potentiel et une recommandation de télécharger un certificat de sécurité mis à jour pour continuer.
En cliquant pour effectuer la mise à jour, un faux installateur de mise à jour signé avec un certificat de l'autorité de certification racine Digicert a été téléchargé. Cette mise à jour incluait un logiciel malveillant connu sous le nom de TVRAT, qui fournit un accès à distance complet à tout appareil sur lequel il est installé par le biais du contrôle à distance TeamViewer software. Le logiciel malveillant TVRAT a également été utilisé dans une attaque de 2013 impliquant des pièces jointes de Microsoft Office.
La fin de l'installation déclenchait une notification aux pirates, qui pouvaient alors prendre le contrôle des appareils infectés.
L'impact de l'attaque : Ce que nous savons à ce jour
Malheureusement, cette attaque n'est que l'exemple le plus récent d'une série d'attaques visant Windows IIS.
Plusieurs autres vulnérabilités concernant IIS sont apparues ces dernières années, dont deux en 2021 : Une vulnérabilité vermoulue pour laquelle Microsoft a publié un correctif en mai et une menace persistante avancée basée sur quelques exploits d'un groupe connu sous le nom de Praying Mantis qui a ciblé Windows IIS en août.
Dans l'ensemble, cette série d'attaques ne met pas seulement en évidence certaines vulnérabilités à connaître, mais souligne également l'importance des mises à jour de sécurité régulières et de l'éducation générale des utilisateurs.
Plus important encore, l'attaque du faux certificat expiré met en lumière l'importance de la visibilité de la gestion du cycle de vie des certificats afin de mieux comprendre les risques potentiels de ce type.
Leçons apprises : Protéger votre organisation
En creusant un peu, on peut tirer deux leçons essentielles de cette attaque qui peuvent aider les équipes de sécurité à protéger leurs organisations contre des menaces de ce type à l'avenir :
1) Ne pas sous-estimer l'importance de la gestion de PKI
Une gestion efficace dePKI peut fournir la visibilité et les rapports nécessaires pour anticiper les problèmes potentiels tels que ceux qui ont résulté de l'attaque par faux certificats expirés.
Tout d'abord, la mise en place de capacités d'analyse et de détection adéquates peut aider les équipes de sécurité à déterminer facilement si un certificat a été installé sur un serveur. Elles peuvent également fournir d'autres informations importantes, telles que la date d'installation, l'identité de la personne qui l'a installé et même l'objectif du certificat. Ces informations peuvent aider les équipes à garder le contrôle des certificats dans l'ensemble de l'organisation.
Deuxièmement, un système capable de fournir un inventaire complet des certificats peut permettre d'identifier rapidement toute anomalie, ce qui permet aux équipes de sécurité d'enquêter rapidement sur ce qui se passe et d'éviter que de petits problèmes ne se transforment en problèmes encore plus importants.
2) Faire des utilisateurs finaux une partie de la solution grâce à l'éducation
En outre, il est important de reconnaître que les utilisateurs finaux peuvent être une faiblesse ou un atout en matière de sécurité, en fonction de la formation qui leur est dispensée.
Idéalement, les équipes devraient éduquer les utilisateurs sur une variété de mesures de sécurité importantes, y compris le fait qu'ils ne devraient jamais accepter ou installer un certificat qu'ils ne connaissent pas. Aussi simple que cela puisse paraître aux professionnels de la sécurité qui vivent et respirent ce domaine au quotidien, prendre le temps d'éduquer les utilisateurs finaux sur une variété de bonnes pratiques peut contribuer grandement à réduire les vulnérabilités d'origine humaine (telles que les utilisateurs qui téléchargent un faux certificat).
Quelle est la prochaine étape ?
Nous ne pouvons pas ignorer la criticité de l'attaque du faux certificat expiré de septembre 2021. Cette attaque a utilisé un logiciel malveillant pour créer une alerte très réaliste, y compris un certificat signé par une autorité de certification racine très respectée, dans le but de télécharger un programme malveillant permettant aux pirates d'accéder à distance aux appareils.
Il s'agit peut-être de l'exemple le plus récent d'une attaque sophistiquée, mais ce ne sera certainement pas le dernier. Les équipes de sécurité doivent se tenir au courant des dernières menaces de ce type pour comprendre comment les attaques évoluent et comment elles peuvent continuer à améliorer leur posture de sécurité et à former les utilisateurs pour protéger leurs organisations à l'avenir.
