Toute organisation peut être la victime d’une attaque ciblée de la part d’attaquants déterminés afin de réaliser une intrusion, un déni de service, et éventuellement voler des données de manière furtive, ou bien détruire les disques durs des machines du système d’information. Avec le recul, force est de constater que dans la très grande majorité des cas, de simples mesures auraient permis soit de stopper, soit de nettement ralentir l’attaque. Venez participer à cette session pour obtenir une liste d’actions que vous pouvez mettre en œuvre maintenant pour augmenter de manière spectaculaire votre niveau de sécurité et devenir une cible difficile à atteindre. Quelques astuces pour déterminer si vous êtes déjà la victime d’une attaque ciblée seront également partagées
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
1. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
2. Lutter contre les
attaques ciblées
Cyril Voisin
Chief Security Advisor
Microsoft Gulf
@cyrilvoisin #SEC203
http://blogs.technet.com/voy
Entreprise / IT / Serveurs / Réseaux / Sécurité
7. Adoption des mises à jour de sécurité
Microsoft Microsoft Adobe Oracle Adobe Flash
Security Update Status
Windows Word Reader Java Player
Missing latest update* 34% 39% 60% 94% 70%
Missing three latest updates 16% 35% 46% 51% 44%
8. Attaques ciblées
• Attaquants motivés
– Organisation avec des employés à temps plein
– Maintiennent à jour les profils de vos employés et de votre
organisation
• Qui a accès à ce qu‟ils veulent
• Qui sont les administrateurs
• Qui clique sur les emails de phishing
• Feront le nécessaire pour vous atteindre
• Iront là où vous irez
• Buts: espionnage, modifications, sabotage
10. Objectifs de la sécurité
• Confidentialité
– (secrets, propriété intellectuelle… à l‟ère de WikiLeaks
et des réseaux sociaux)
• Intégrité
– (données et systèmes)
• Disponibilité
– (données et systèmes)
13. La sécurité résulte de la combinaison de
• Processus
(gestion des risques, gestion des mises à jour, gestion de
configuration, etc.)
• Personnes
(employés, sous-traitants, admins, développeurs,
utilisateurs, menace intérieure…)
• Technologies
(pas seulement des technologies de sécurité)
14. Principes de sécurité
• Il N‟y a PAS de sécurité – Moindre privilège
absolue – Réduction de la surface
• Gestion des risques d‟attaque
– (bien, vulnérabilité, – Isolation
menace, atténuation)
contre élimination des – Audit / traçabilité
risques – Besoin d‟en connaître
• Défense en profondeur – Séparation et rotation des
Mise en place de plusieurs rôles
couches de protection pour
ralentir ou arrêter l‟attaquant – Sécurité positive
(réseau, hôte, application…)
15. Le dilemme du défenseur
• Nécessité de tout protéger au bon niveau
• L‟attaquant a seulement besoin d‟exploiter
UNE faiblesse pour compromettre
l‟entreprise
17. Étapes d’une attaque ciblée
Gestion (pouvoir):
Ciblage de victimes
Contrôleurs de Exécution de code par exploitation
domaine
d’une faiblesse
Élévation de privilèges si nécessaire
“déplacement latéral”
Données et applis Installation d’un malware ou d’une
(valeur): boîte à outils
Serveurs et
Applications Recherche de crédentités puissantes
(admins)
Terminaux Propagation par le réseau
(accès):
Utilisateurs et Exfiltration de données ou destruction
stations de
travail
19. Avertissement à propos de la démo
• Cette vidéo démontre l‟importance de l‟hygiène des crédentités
• Ce n‟est pas une problématique spécifique à Windows (System sur Windows =
root sur Linux/Unix = accès complet à tous les secrets sur le disque ou en
mémoire, si vous savez où les trouver)
• L‟attaque Pass the Hash n‟exploite pas une vulnérabilité, les mêmes privilèges
systèmes nécessaires à cette méthode permettent également
– D‟enregistrer toutes les frappes du clavier
– D‟enregistrer tous les clics de souris
– De faire des captures d‟écran à volonté
– De créer de nouveaux comptes administrateurs locaux sur la machine
• L‟outil de la démo est disponible publiquement et a été écrit et publié par un
chercheur en sécurité indépendant (Microsoft n‟en est pas l‟auteur)
• Nous avons téléchargé l‟outil depuis un site Web public (un blog, pas un site
de hackers underground)
• Nous avons réalisé la démo dans un environnement isolé and nous ne
permettrons pas à l‟outil de toucher un réseau client
20. Livre blanc contre le vol de crédentités
• http://aka.ms/PtH
• Liste les atténuations recommandées, nous
y reviendrons
22. Deux horizons
• Tactique / Court terme / Retours rapides
– Contrats de support, équipe interne de réponse à incident,
durcissement, moindre privilège…
• Stratégique / Long terme / Approche globale /
Sécurité comme un atout pour l‟entreprise
– Initiative sécurité complète, politique de sécurité mettant en
œuvre les bonnes pratiques (prévention, détection, audit,
réponse à incident, récupération post incident, continuité de
l‟activité, security development lifecycle), rapport pour les
dirigeants mesures clés, certification ISO 27001 avec un
périmètre significatif, cloud computing, etc.
23. Soyons réalistes
• Vous êtes (probablement) une cible
• D‟un point de vue pratique vous ne pouvez
pas tout protéger
• Vous allez être attaqué (si ce n‟est pas déjà
fait)
=> Agir en fonction des risques (biens et
personnes clés, et tout ce dont ils dépendent)
25. Choisir un plan de récupération
Présence et compétence de l‟attaquant faibles Présence et compétence de l‟attaquant hautes
Aucune probabilité de persistance Persistance assurée
Haute efficacité Efficacité dépendante Basse efficacité
inhérente de l’exécution inhérente
27. 1. Mises à jour de sécurité
• Objectif: ne pas laisser de vulnérabilité
connue qui pourrait être exploitée par
l’attaquant
• TOUS les logiciels (y compris Java, Adobe…)
• Dans un délai raisonnable
• Processus, pas action coup de poing
• Rappel: fin de vie de Windows XP
28. 2. Moindre privilège
• Objectif: éviter de donner tous les droits à
l’attaquant
• Administrateurs de domaine
• Comptes de services
• Administrateur local
29. Restreindre et protéger les comptes de domaine à haut
privilèges
Objectif Comment Résultat
Cette atténuation • Empêcher les comptes administrateurs du Un attaquant ne
restreint la domaine et de l‟entreprise (DA/EA) de peut pas dérober la
possibilité pour s‟authentifier sur des machines d‟un niveau de crédentité d‟un
les confiance inférieur compte si celle-ci
administrateurs • Fournir aux administrateurs des comptes pour n‟est jamais utilisée
d‟exposer par remplir leur devoir d‟administration sur la machine qu‟il
mégarde leurs • Assigner des stations de travail dédiées pour les a compromise
crédentités sur tâches administratives
des machines à • Marquer les comptes privilégiés comme “compte
plus haut risque […] sensible[s] et ne peu[ven]t pas être délégué[s] ”
• Ne pas configurer des tâches planifiées ou des
services pour utiliser des comptes de domaine
privilégiés sur des machines d‟un niveau de
confiance inférieur
30. Restreindre et protéger les comptes locaux administrateurs
Objectif Comment Résultat
Cette atténuation • Mettre en œuvre les restrictions disponibles dans Un attaquant qui
restreint la Windows Vista/7/8 qui empêchent les comptes obtient la
possibilité pour locaux d‟être utilisés pour l‟administration à crédentité d‟un
les attaquants distance compte local d‟une
d‟utiliser des • Interdire explicitement les droits machine
comptes locaux d‟authentification par le réseau ou par Bureau à compromise ne
administrateurs ou distance (RD) pour tous les comptes locaux peut pas l‟utiliser
leurs équivalents administrateurs pour effectuer un
pour des • Créer des mots de passe uniques pour les mouvement latéral
mouvements comptes ayant des droits administrateurs locaux sur le réseau de
latéraux de type l‟organisation
attaque PtH
31. Restreindre le trafic entrant avec le Pare-feu Windows
Objectif Comment Résultat
Cette atténuation • Restreindre tout trafic entrant sur toutes les Un attaquant qui
restreint la stations de travail sauf pour celles où un trafic obtient n‟importe
possibilité pour entrant de source sure est attendu (tel que quel type de
les attaquants depuis les stations de travail du helpdesk, les crédentité ne
d‟initier un analyseurs de conformité et serveurs) pourra pas se
mouvement connecter aux
latéral depuis une autres stations de
machine travail
compromise en
bloquant les
connexions réseau
entrantes
32. Recommendations (1)
Recommendations Effectiveness Effort Privilege Lateral
required escalation movement
Remove standard users from Excellent High √ -
the local administrators
group
Limit the number and use of Good Medium √ -
privileged domain accounts
Configure outbound proxies Good Low √ -
to deny Internet access to
privileged accounts
Ensure administrative Good Low √ -
accounts do not have email
accounts
33. Recommendations (2)
More recommendations Effectiveness Effort Privilege Lateral
required escalation movement
Use remote management Good Medium √ -
tools that do not place
reusable credentials on a
remote computer‟s memory
Avoid logons to potentially Good Low √ √
compromised computers
Update applications and Partial Medium - -
operating systems
Secure and manage domain Partial Medium - -
controllers
Remove LM Hashes Partial Low - -
34. 3. Liste blanche d’applications
• Objectif: lister les applications autorisées
afin d’interdire les autres (notamment celles
lancées par l’attaquant)
• AppLocker dans Windows 7 / Windows 8
– Signatures numériques
– Chemin de confiance local
35. 3 mesures essentielles
• Mises à jour de sécurité de tous les logiciels
• Restreindre et protéger les comptes
hautement privilégiés (admins)
• Liste blanche d‟applications
37. Autres mesures
• Surveiller votre solution antivirale
– Exécution correcte, signatures à jour – peut vous donner des
indices sur un comportement anormal (l‟attaquant peut arrêter
les services antiviraux)
– Attention: une attaque ciblée utilisera une version non détectée
d‟une boîte à outils / d‟un malware qui ne sera pas captée par
votre antivirus (vos défenses ne doivent donc pas se reposer
uniquement sur un antivirus)
38. Autres mesures
• Définir les données critiques et leur appliquer des
protections supplémentaires (au repos et en transit)
– Chiffrement avec RMS (Active Directory Rights Management Services)
– Ségréguer l‟accès aux données des administrateurs de domaine
– Utiliser IPsec pour empêcher la capture via le réseau et mettre en
place l‟isolation de domaine et de serveurs (qui vérifie que
l„utilisateur et la machine qui essaient de se connecter à une
machine ont le droit d‟établir une connexion réseau; par exemple
un serveur RH peut exiger que l‟accès ne soit permis que depuis
une station RH utilisée par un utilisateur de la RH)
– Faire des sauvegardes régulières; tester les restaurations; garder
des sauvegardes hors site et hors ligne
39. Autres mesures
• Utiliser les modèles de sécurité • Utiliser des pare-feu
(Security Compliance Manager) personnels
• Sécurité physique • Segmenter et ségréguer le
• Filtrer les emails réseau + NAP
• Filtrer le contenu Web • Durcir les applications
• Contrôler les disques • Déployer une
amovibles
authentification forte
• Eduquer les utilisateurs
• Déployer un audit centralisé
• Mettre en place une politique
de mots de passe forts • Surveiller les intrusions
• Capter le trafic réseau…
40. En pratique
• Commencer par le • En cas de récupération, une
durcissement des serveurs et approche BIG BANG
stations critiques recommandée après un test
• Protéger les comptes clés pilote en laboratoire
d‟abord (puis les autres)
• Utiliser des mesures de
détection et déployer des
leurres
42. Tirer parti de ce que vous avez
• Chiffrement de volume BitLocker (+démarrage
sécurisé, attestation avec Windows 8)
• Liste blanche d‟applications avec AppLocker
• Pare-feu Windows
• Connectivité, gestion et sécurité des machines
mobiles avec DirectAccess
• Protection contre les machines non saines
avec NAP
• Isolation de domaine et de serveurs avec IPsec
43. Tirer parti de ce que vous avez
System Center 2012
• Configuration Manager (SCCM) pour la gestion des
mises à jour
• Endpoint Protection (SCEP) pour l‟antimalware
• Audit Collection Services (ACS de SCOM) pour la
centralisation des audits
• Data Protection Manager (DPM) pour les
sauvegardes
• Orchestrator pour l‟automatisation
• …
44. Tirer parti de ce que vous avez
• Protéger le contenu et l‟usage des documents
sensibles avec Active Directory Rights Management
Services (RMS)
• Déployer des certificats / IGC avec Active Directory
Certificates Services (AD CS)
• Gestion des identités avec FIM (Forefront Identity
Manager)
• Fédération des identités (AD FS)
• Exchange Online Protection (EOP, ex FOPE)
• Etc.
46. Microsoft Services (Premier/MCS)
– Security Health Check
– ADSA+R
– Revue d‟architecture de sécurité
– Environnement d‟administration durci
– …
47. ADSA-R
• Offre de services focalisée sur AD
• 3 parties :
– Analyse de sécurité selon les critères du
Security Compliance Manager (SCM) –
entre 200 et 400 paramètres
– Analyse de l‟appartenance aux groupes
privilégiés
– Questionnaire sur les pratiques
d‟administration - ~150 questions
• Livrables
– Rapport détaillé
– Synthèse des priorités et
recommandations
– Restitution aux interlocuteurs directs et au
management, recommandations, priorités
– Présentation pour le management avec un
résumé pour les VIP
49. Cloud computing
• Cloud public
– Pour vos activités principales; vous partagez la
responsabilité avec le fournisseur de cloud
– Pour la gestion d‟incidents (VM en veille, messagerie isolée
dans Office365 pour la gestion de crise, etc.)
• Cloud privé
– Automatisation, cohérence des différentes charges pour
mettre en œuvre les bonnes pratiques
• Cloud hybride (mélange des deux)
52. Actions
• Soyez préparé!
• Engagez Microsoft et ses partenaires (proactivement:
évaluations de sécurité dans un premier temps dont ADSA-R,
puis revue d‟architecture de sécurité / Premier; de manière
réactive si nécessaire)
• Appliquez les mesures à haut rendement maintenant pour
votre infrastructure (gestion des mises à jour de sécurité,
moindre privilège et contrôle des comptes privilégiés, liste
blanche, pare-feu de stations, durcissement…)
• Tirez parti des logiciels que vous avez déjà
• Déployez une Plateforme de Services Partagée comme
fondation pour mettre en œuvre automatiquement les mesures
ci-dessus
53. 4 ouvrages écrits par 13 Microsoftees
http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
55. Autres sessions
• Traitement d'incidents de sécurité : cas
pratiques, retours d'expérience et
recommandations (SEC312) – Phil Vialle et
Patrick Chuzel
• L'état de la menace avancée (dite APT)
(SEC403) – Nicolas Ruff
56. Dérober le condensat de l’administrateur local
Dérober le mot de passe en clair de la mémoire de LSA
Notas do Editor
Notation
Intro Serveurs / Entreprise / Reseaux / IT
An exploit is malicious code that takes advantage of software vulnerabilities to infect, disrupt, or take control of a computer without the user’s consent and usually without the user’s knowledge. Exploits target vulnerabilities in operating systems, web browsers, applications, or software components that are installed on the computer. In some scenarios, targeted components are add-ons that are pre-installed by the computer manufacturer before the computer is sold. A user may not even use the vulnerable add-on or be aware that it is installed. Some software has no facility for updating itself, so even if the software vendor publishes an update that fixes the vulnerability, the user may not know that the update is available or how to obtain it, and therefore remains vulnerable to attack. The number of computers reporting exploits delivered through HTML or JavaScript remained high during the first half of 2012, primarily driven by the continued prevalence of Blacole, the most commonly detected exploit family in 1H12.Java exploits, the second most common type of exploit detected in 1H12, rose throughout the period, driven by increased detection of exploits for CVE-2012-0507 and CVE-2011-3544.Exploits that target vulnerabilities in document readers and editors were the third most commonly detected type of exploit during 2H11, due primarily to detections of exploits that target older versions of Adobe Reader.
Document parser exploits are exploits that target vulnerabilities in the way a document editing or viewing application processes, or parses, a particular file format. Exploits that affect Adobe Reader and Adobe Acrobat accounted for most document format exploits detected throughout the last four quarters. Most of these exploits were detected as variants of the generic exploit family Win32/Pdfjsc. As with many of the exploits discussed in this section, Pdfjsc variants are known to be associated with the JS/Blacole exploit kit. In most cases, the vulnerabilities targeted by these exploits had been addressed with security updates or new product versions several months or years earlier.Exploits that affect Microsoft Office and Ichitaro, a Japanese-language word processing application published by JustSystems, accounted for a small percentage of exploits detected during the period.
Intent to persist accessAlways get copy of Active Directory (all password hashes)Typically custom malware on random hosts
Bad guy targets workstations en masse User running as local admin compromised, Bad guy harvests credentials.Bad guy starts “credentials crabwalk”Bad guy finds host with domain privileged credentials, steals, and elevates privilegesBad guy owns network, can harvest what he wants.
Cette vidéo démontre l’importance de l’hygiène des crédentités.Ce n’est pas une problématique spécifique à Windows (System sur Windows = root sur Linux/Unix = accès complet à tous les secrets sur le disque ou en mémoire, si vous savez où les trouver)L’attaque Pass the Hash n’exploite pas une vulnérabilité, les mêmes privilèges systèmes nécessaires à cette méthode permettent égalementD’enregistrer toutes les frappes du clavierD’enregistrer tous les clics de sourisDe faire des captures d’écran à volontéDe créer de nouveaux comptes administrateurs locaux sur la machineL’outil de la démo est disponible publiquement et a été écrit et publié par un chercheur en sécurité indépendant (Microsoft n’en est pas l’auteur)Nous avons téléchargé l’outil depuis un site Web public (un blog, pas un site de hackers underground)Nous avons réalisé la démo dans un environnement isolé and nous ne permettrons pas à l’outil de toucher un réseau client
Prévention (protection et isolation)Plan de continuité d’activité, évaluation des risques, évaluation des vulnérabilités sur le réseau, revue de code d’application, politiques et procédures, défense en profondeur, durcissement, préparation à l’analyse post mortem, planification de la réponse à incident, détection d’intrusionDétectionRéponse (et récupération)Acquisition post mortem, réponse à incident et remèdes, examen post mortem et rapport, revue d’incident
Effectiveness Depends on Execution
Aucun utilisateur ne doit être administrateur local de leur machine, même les administrateursLes administrateurs de domaine ne doivent jamais ouvrir de session interactive sur une station de travail ou un serveur membre du domaine (seulement sur les contrôleurs de domaine)Les comptes de service à hauts privilèges sont un risque
Mitigation 1 - Restrict and protect high privilegeddomainaccounts
Mitigation 2 - Restrict and protect local accounts with administrative privilegesprojet de gestion des mots de passe par GPO : http://code.msdn.microsoft.com/windowsdesktop/Solution-for-management-of-ae44e789+fonctionnalités Managed Service Accounts et Group Managed Service Accounts
Mitigation 3 - Restrict inbound traffic using the Windows Firewall
LivrablesDocument synthétique du Statut de l'existant (Word)Inventaire de l’environnement AD et plate-forme management (Excel)Liste des configurations erronées (Excel)Liste des corrections immédiates (Excel)Document de divergence (Word)Plan de remédiation (Word)