• Accueil
  • Solutions
    • DLP Poste de Travail
    • CTEM - Digital Supply Chain & Attack Surface
    • Prévention des fuites de données sans agent (DLP)
    • Gestion continue des menaces dues aux codes tiers dans vos sites web
    • SaaS Security Posture Management (SSPM)
    • Sensibilisation à la Cybersécurité
    • Protection prédictive (PRE-CRIME)
    • Cyber Security Ratings
    • Breach & Attack Simulation
    • Multi Factor Autentication & Micro Segmentation
    • EDR (EndPoint Detection & Response)
    • Collaboration optimisée et sécurisée
    • Sécurité de la messagerie
    • Chiffrement des données
  • News
  • Contact
  • Plate-forme
    • Vue Générale
    • Intégrations
  • Cas d'usages
    • Gestion des erreurs de configuration
    • Analyse des intégrations tierces parties
    • Détection et réponse de sécurité SaaS
    • Exposition des données SaaS
  • Ressources
    • Blog
    • Documentations

Lee Kappon, 3 août 2023

SaaS Ransomware : Se préparer à une nouvelle génération de menaces

Le mois dernier, un nouveau ransomware SaaS a été vu « dans la nature » pour la première fois. L’attaque, qui a affecté le logiciel Microsoft SharePoint, ne provenait pas d’un point de terminaison compromis. Ce fait a alarmé les experts en sécurité SaaS. Ce n’est pas non plus une bonne nouvelle pour les responsables de la sécurité. Cependant, il existe des moyens de se défendre contre de telles menaces.

L’attaque

Jusqu’à présent, les attaques de ransomware sur les applications SaaS ont suivi un modèle dans lequel l’attaquant compromet d’abord un point de terminaison tel qu’un ordinateur portable ou un serveur. Après avoir chiffré les données sur le point de terminaison, les données chiffrées se synchronisent sur tous les services de stockage/sauvegarde, les rendant inutilisables, et l’attaquant demande une rançon pour qu’elles soient déchiffrées. Cependant, ce n’est pas ce qui s’est passé en l’espèce.

Dans cette attaque, un pirate informatique a compromis les informations d’identification d’un compte de service d’administration global Microsoft. L’attaquant a pu compromettre les informations d’identification car le compte de service n’avait pas activé MFA/2FA. Par conséquent, le compte pourrait être accessible sur l’Internet public simplement avec un mot de passe. Plus précisément, l’attaquant a accédé au compte de service à partir d’un hôte de serveur privé virtuel (VPS). Même si le VPS avait une géolocalisation IP anormale, par rapport à des modèles d’accès « normaux », l’attaquant était toujours en mesure d’accéder au compte.

À partir de là, l’attaquant a configuré un nouvel utilisateur Active Directory (AD) appelé « Omega » à l’aide du compte de service compromis. L’attaquant a ensuite utilisé le compte de service compromis pour accorder, puis élever, les autorisations du compte Omega, à des rôles tels que Administrateur général, Administrateur SharePoint, Administrateur Exchange et Administrateur Teams. (Waouh!) Le compte de service compromis a également accordé à Omega des fonctionnalités d’administrateur de collection de sites pour plusieurs sites et collections SharePoint.

L’attaquant a supprimé les 200 autres administrateurs du système dans les deux heures. Le décor était planté pour une violation massive de données, et à ce moment-là, l’attaquant a pu exfiltrer des fichiers.



Implications pour la sécurité SaaS

L’attaque de ransomware SharePoint « dans la nature » présente une nouvelle tournure sur une ancienne attaque. Ce qui ressort, c’est le fait que l’attaque n’impliquait pas de compromettre un point de terminaison comme un serveur. Les pirates n’ayant plus besoin d’accéder à un point de terminaison, ils peuvent se concentrer sur les services SaaS. Dans ce cas, ils ont utilisé un compte administrateur pour verrouiller les autres utilisateurs et violer les données de la cible. Ils auraient également pu crypter les données et exiger une rançon pour les décrypter. Alors que la plupart des fournisseurs SaaS sont en mesure d’aider les victimes à restaurer leur accès et éventuellement à récupérer les données perdues, le processus a tendance à prendre beaucoup de temps et ne sera pas nécessairement en mesure de restaurer toutes les données affectées.

L’attaque montre clairement que les applications SaaS sont désormais la cible d’attaques de ransomware. Il montre également l’importance de définir et d’appliquer des politiques claires et efficaces en matière de comptes administratifs. L’attaque SharePoint n’aurait pas fonctionné si MFA/2FA, ainsi qu’une meilleure détection et réponse aux anomalies géographiques, avaient été opérationnels.



Atténuer ce nouveau type de risque SaaS

Cette attaque est un signe de ce que l’avenir nous réserve. C’était peut-être le premier ransomware SaaS connu « dans la nature », mais ce ne sera pas le dernier. La méthode de l’attaque souligne l’importance de la configuration, de la maintenance et de la surveillance des contrôles de sécurité SaaS. Bien que cette idée soit assez simple, son exécution peut être assez difficile.

Pour la plupart des organisations, qui emploient en moyenne plus de 100 applications SaaS, chacune avec ses propres configurations et paramètres, la tâche de se défendre contre les ransomwares dans la nature va être une perspective intimidante. Il y a tout simplement trop de possibilités pour que les mesures de sécurité s’effondrent. Les utilisateurs individuels peuvent être en mesure de modifier leurs paramètres de sécurité sans que personne ne le sache. Les comptes administrateur peuvent ne pas être configurés de manière sécurisée, par exemple, sans MFA/2FA. Les plug-ins tiers peuvent accorder l’accès à des utilisateurs non autorisés, etc.

Une plateforme SaaS de gestion de la posture de sécurité (SSPM), telle que Suridata, offre un moyen d’atténuer ces nouveaux risques. Suridata comprend une solution unique et unifiée pour SSPM. Avec cette plate-forme SSPM, il devient possible de réaliser des configurations sécurisées de toutes les applications SaaS d’une organisation, puis de surveiller ces configurations pour détecter les changements qui reflètent un changement de posture de sécurité. La plate-forme SSPM peut également contrôler étroitement l’accès des utilisateurs et des plugins, tout en surveillant les comportements anormaux. Au fur et à mesure de son fonctionnement, elle est capable de hiérarchiser les problèmes de sécurité qu’elle détecte et, dans certains cas, de les résoudre automatiquement.



Conclusion

Une nouvelle ère s’ouvre dans la sécurité SaaS. Les attaques de ransomware se cachent dans la nature. Il est temps d’être prêt à se défendre contre elles. Une plate-forme SSPM est sans doute la meilleure technologie disponible pour atténuer les menaces qui exploitent les faiblesses du contrôle d’accès, de la configuration et de la détection des anomalies.

Pour en savoir plus sur la plateforme SSPM de Suridata, contactez-nous dès maintenant.

Réserver une démonstration