Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Résurgence de Cloud Shadow Admins avec Nobelium

novembre 2021 par CyberArk

Une campagne d’attaque récemment détectée par Microsoft, attribuée à Nobelium, a attiré l’attention des chercheurs de CyberArk en raison d’un vecteur d’attaque sur lequel l’équipe avait travaillé dans le passé : Cloud Shadow Admins.

Selon Microsoft, l’instigateur de cette campagne aurait tenté d’obtenir un accès non autorisé aux clients de plusieurs fournisseurs de services cloud et de services managés (MSP), ainsi que d’autres organisations de services informatiques. En effet, du fait de leurs activités, ces entreprises ont souvent un accès à privilèges aux environnements IT de leur clients. Ils représentent par conséquent des cibles de choix pour les cybercriminels cherchant à tirer parti de la supply chain pour causer un maximum de dommages.

Les hackers auraient utilisé des techniques d’attaque simples ; telles que le password spraying et le phishing. Heureusement, des outils existent pour contrer la menace Cloud Shadow Admin.

Une fois dans les réseaux informatiques des organisations cibles, Nobelium aurait, selon Google, cherché à accéder aux comptes à privilèges des fournisseurs de services pour se déplacer latéralement dans les environnements cloud, en tirant parti de la confiance instaurée entre l’entreprise et son client. C’est pourquoi il est vital de protéger les comptes à privilèges et d’avoir des procédures d’accès bien définies et sécurisées.

Cloud Shadow Admins

La campagne malveillante mise à jour par Google met en avant une menace découverte par CyberArk : Cloud Shadow Admins. Les administrateurs fantômes sont des types d’utilisateurs furtifs qui disposent d’autorisations particulièrement sensibles, leur accordant la possibilité d’augmenter les privilèges dans les environnements cloud. Ces entités, qui résultent souvent de mauvaises configurations ou d’un manque de sensibilisation, peuvent être ciblées par des hackers, mettant en danger l’ensemble de l’environnement. Il est donc essentiel de suivre et de détecter la création d’utilisateurs à privilèges, et d’être notifié de toute modification dans les attributions de tels rôles. Bien que des organisations connaissent leur liste de comptes d’administrateurs « basiques », les administrateurs fantômes sont beaucoup plus difficiles à découvrir en raison des milliers d’autorisations qui existent dans les environnements cloud standard.

Se prémunir contre la menace

Il est possible pour les cybercriminels de trouver et d’abuser d’autorisations vraisemblablement limitées, afin d’élever leurs privilèges et de devenir des administrateurs cloud complets. Ils peuvent également facilement utiliser ces autorisations pour masquer les entités furtives, qui restent alors cachées jusqu’à ce qu’elles soient utilisées comme des portes dérobées pour accéder au réseau. Il y a fort à parier qu’une technique similaire a été utilisée par Nobelium dans les premières phases d’attaque contre les fournisseurs de services.

En raison de cette menace Cloud Admin Shadow, CyberArk a ajouté des fonctionnalités dédiées à ses produits pour atténuer cette surface d’attaque. L’entreprise a également développé un outil open source gratuit, SkyArk, pour améliorer la sécurité des entreprises face à cette menace. En effet, alors que la sécurisation des administrateurs est essentielle pour la protection des environnements cloud, il est impossible de protéger des utilisateurs dont on ignore l’existence - et c’est la difficulté avec Cloud Shadow Admins.

Les attaquants ciblent de plus en plus les environnements cloud, les Shadow Admins sont donc un vecteur clé d’attaque pour augmenter leurs privilèges et, in fine, causer de graves dommages. Les organisations doivent donc être sensibilisées à la menace et s’armer en conséquence contenir cette vulnérabilité.


Voir les articles précédents

    

Voir les articles suivants