Mouvements latéraux : le succès des récents malwares

Trop souvent méconnu, le mouvement latéral est pourtant la principale raison de l'ampleur insoupçonnée qu'ont pris les cyberattaques depuis plusieurs années. Kesako ? Pourquoi si peu d'organisations prennent en compte cette technique utilisée par les cybercriminels ? Comment s'en prémunir ? Décryptage.

Un objectif : gagner en privilèges

Vecteur de diffusion des malwares comme WannaCry et NotPetya, la technique du mouvement latéral a largement contribué au succès de ces attaques. Le principe de cette technique est de gagner en privilèges sur un poste client. Rappelons que les privilèges sont les droits accordés à un utilisateur, qui lui donnent accès à plus ou moins de ressources informatiques. Cela correspond typiquement aux différents profils que l’on peut rencontrer sur un poste client. Le profil invité qui n’a que des droits d'accès temporaires à un nombre très limité d’applications, le profil utilisateur qui n’autorise que l’utilisation du poste client, et le profil administrateur qui lui a tous les droits : utilisation, installation, modification et suppression des applications et paramètres.

Concrètement, une fois qu’un pirate a réussi à accéder à une machine du réseau de l’entreprise, son but est donc de trouver des identifiants de connexion - aussi appelés credentials - qui lui donneront plus de droits pour pouvoir effectuer davantage d'opérations malveillantes. La première étape commence par l’utilisation d’un petit logiciel espion appelé credential dumper, qui va collecter les autres identifiants présents sur la machine. Puis, il va vérifier si l’un des credentials ainsi récupéré ne possèderait pas des droits d’accès plus importants que les identifiants déjà en sa possession.

Ces identifiants de connexion sont souvent stockés dans le cache du poste client, dès qu'une personne est venue s'authentifier dessus avec une méthode déposant ces credentials sur le poste. Il s’agit des identifiants de connexion correspondant à d’autres profils, comme par exemple ceux d’un employé du service informatique, qui est intervenu pour résoudre un problème quelques jours auparavant.

La seconde étape consiste à répéter cette opération, mais cette fois-ci sur les machines accessibles depuis la première. Le but est de collecter encore plus d'identifiants et avec encore plus de privilèges pour s'étendre petit à petit dans l'environnement et gagner en pouvoir.

Une technique très prisée car simple

C’est une technique très prisée par les pirates car elle ne nécessite pas de grands moyens, ni d’avoir des accès importants dès le départ. Il suffit d’avoir accès à une machine, puis d’escalader les privilèges au fur et à mesure de l'exploration des machines avoisinantes. 

L’objectif final est de prendre le contrôle du maximum de machines, avec les droits les plus élevés possibles, afin d’avoir un réseau d’ordinateurs et de serveurs prêts à lancer une attaque ou à se faire infecter sans réagir.

Elle est, par exemple, bien plus simple à mettre en place qu’une attaque réseau, en grande partie car c’est une surface d’attaque largement sous-estimée par les services informatiques, pour lesquels avoir une visibilité sur le sujet est très difficile.

Les solutions existent pourtant

Heureusement, il existe des moyens simples de s’en prémunir, en prenant plusieurs mesures concrètes. La première et qui semble couler de source, est de bien gérer ses délégations d'administrateurs sur les postes. La seconde, très simple aussi, est de fermer le protocole SMB entre machines clients, car il permet à une machine d’explorer le réseau à la recherche d’autres machines, et constitue le principal vecteur de propagation des malwares utilisant les mouvements latéraux. Une autre mesure est de mettre en place une authentification avec un mot de passe temporaire (aléatoire) pour le profil de l’administrateur local. Ainsi, l’attaquant ne pourra pas réutiliser le mot de passe trouvé, puisqu’il ne peut servir qu’une seule fois.

Une autre mesure à mettre en place est de renforcer la formation des services informatiques à ces techniques des pirates. En effet, souvent, les informaticiens, plutôt que d’utiliser le compte qui a les privilèges suffisants pour réaliser une opération, préfèrent utiliser leur profil qui a le maximum de droits, même si ce n’est pas nécessaire pour cette maintenance. Le risque de ce comportement négligent est que si le pirate tombe sur ces identifiants, il récupère très vite un compte avec le maximum de privilèges, ce qui lui permet de prendre le contrôle de toutes les machines du réseau rapidement.

Une autre lacune est à combler : le manque de visibilité des directions informatiques sur les machines présentes sur leur réseau. Ce manque de visibilité empêche les services de sécurité de savoir quels identifiants sont sur quelles machines. Avec une visibilité plus précise, il serait possible de voir quelles sessions sont encore dans le cache des ordinateurs et serveurs, et donc de les supprimer rapidement pour bloquer le mouvement latéral de l’attaque. 

Face au succès des récents malwares, les organisations se doivent donc de réagir. En appliquant ces mesures, elles seront mieux préparées et plus à même d’empêcher les cybercriminels de prendre le contrôle de leur réseau grâce à la technique du mouvement latéral.