[Etats-Unis] Des cyberattaques prorusses menacent le secteur de la santé
Une analyse conjointe a été réalisée par le FBI et la CISA concernant une série d’attaques provenant d’acteurs cybercriminels soutenus par l’État russe.
Déroulement de l’attaque
Selon l’étude, ces groupes seraient parvenus à obtenir des accès réseau, notamment ceux d’une organisation non gouvernementale, en prenant le contrôle d’un compte mal configuré. Ce vol de compte a été réalisé par l’utilisation d’identifiants volés et d’une attaque par force brute afin d’identifier le mot de passe associé.
Par la suite, les attaquants ont exploité la vulnérabilité critique PrintNightmare (CVE-2021-34527), permettant ainsi une élévation de privilège. Une fois cette élévation acquise, les attaquants ont été en mesure de réaliser plusieurs actions malveillantes :
- Exécution de code arbitraire,
- Accès à la messagerie,
- Modification de la configuration du protocole MFA.
Les attaquants ont en effet réorienté le protocole MFA vers le localhost, évitant à celui-ci de se connecter à Internet vers un serveur spécifique (Duo Serveur). Lorsque cette action est réalisée, l’authentification multifacteur pour les comptes utilisateurs actifs de domaine a été automatiquement désactivée. En effet, la politique de sécurité Windows désactive l’authentification MFA lorsque celle-ci ne peut plus se connecter avec le serveur spécifique.
Recommandations
Le FBI et la CISA ont par ailleurs évoqué que cette alerte concernait tout particulièrement le secteur de la santé et ont émis les recommandations suivantes :
- Utilisation de l’authentification à double facteur,
- Désactivation des comptes inactifs dans les systèmes Active Directory et MFA,
- Renforcement du Patch Management.