Comment un MSP peut-être un rebond idéal pour atteindre des centaines d’entreprises ? Pour Vincent Meysonnet, responsable technique avant-vente de Bitdefender, les cybercriminels ciblent de plus en plus les fournisseurs de services informatiques managés (Managed Services Provider ou MSP), dans le but d’atteindre leurs clients. Ça n’est effectivement pas une surprise si l’ANSSI dans son bilan annuel a présenté ces « attaques par rebond » comme une menace insidieuse et sophistiquée de plus en plus observée en France, et une vraie source de préoccupation… Dans cette tribune, l’expert alerte surtout sur le risque accru pour les MSP disposant de solutions antivirus et protection endpoints défaillantes ! Le cas GandCrab doit appeler à une plus grande vigilance.
Pourquoi et comment ça fonctionne ?
La non-exécution de correctifs et de contrôles complémentaires tels que l’authentification multi-facteurs, peut permettre aux attaquants de pénétrer secrètement les systèmes. Des solutions antivirus et une protection des endpoints défaillantes offrent aux cybercriminels une entrée sans entrave. Certains Managed Services Providers n’ayant pas corrigé une vulnérabilité connue, ont vu leurs clients être infectés par le ransomware GandCrab. Pour les cybercriminels, une cible unique peut ainsi ouvrir à de nombreuses autres… Dans la plupart des cas similaires de ransomware, l’antivirus n’a ni détecté, ni stoppé les attaques, et la récupération de fichiers à partir de copies non chiffrées fut impossible.
L’intérêt est souvent porté sur les mesures supplémentaires que les MSP peuvent prendre, il serait intéressant de considérer sérieusement l’efficacité de chaque couche de sécurité, plutôt que de se limiter au seul examen du nombre de couches. Même si toutes les attaques ne peuvent être évitées, un antivirus hautement efficace dans l’interception de malwares, mêmes inconnus, peut réduire une attaque de ransomware potentiellement dévastatrice, à un simple rapport indiquant qu’une attaque a été déjouée.
Comment les ransomwares et les autres attaques contournent-ils les protections antimalware ?
- En utilisant des exploits applicatifs pour prendre le contrôle de systèmes.
En exploitant des vulnérabilités non corrigées présentes dans le code d’applications officielles de confiance, les attaquants peuvent exécuter leurs propres scripts sans que l’antimalware puisse identifier la charge utile malveillante. Après cette prise de contrôle, ils peuvent affiner leur attaque et exécuter un script à distance. Ils désactivent alors la protection, continuent de perfectionner un ransomware ou d’autres charges utiles jusqu’à ce qu’ils ne soient plus détectés. Même si l’attaquant a le contrôle intégral du système, une détection antivirus pourrait alerter le fournisseur de services managés qu’une violation est en cours, avant que l’attaquant ait atteint son objectif.
- En ciblant directement les MSP, les cyber attaquants peuvent accéder à distance à leurs clients.
Les entreprises de Managed Service provider sont des cibles attrayantes pour les attaquants, puisque la compromission de leurs systèmes et logiciels d’assistance informatique à distance, donnent accès aux ordinateurs de centaines de clients. L’absence d’un processus de gestion de sécurité éprouvé et d’une sécurité multicouches efficace signifie que les attaquants sont récompensés après avoir fourni un minimum d’efforts.
- En personnalisant sans cesse les scripts, leurs comportements et en essayant de désactiver les protections.
Les fichiers et les comportements malveillants sont sans cesse affinés, la plupart des produits antivirus ne sont pas capables de reconnaître leurs versions modifiées. Le processus de chiffrement est autorisé à se lancer. Néanmoins, même s’il est d’abord autorisé à s’exécuter, un ransomware peut être stoppé lorsqu’un comportement malveillant est reconnu. Là encore, en raison de la modification des comportements, la plupart des solutions antivirus ne sont pas capables de tenir le rythme et ne les détectent pas, ni n’interrompent les processus.
- En utilisant des attaques basées sur des scripts
En tirant parti d’outils de script officiels tels que PowerShell, les attaquants contournent l’analyse antimalware car aucun fichier n’est inscrit sur le disque. Toute l’attaque a alors lieu dans la mémoire et la plupart des outils antivirus ne sont pas capables d’analyser et d’identifier des commandes distantes malveillantes.
Avec l’intensification des attaques et de la compromission des clients, les MSP devraient envisager de repenser leur sécurité, consulter des études indépendantes (AV-Comparativespar exemple) et opter pour des outils plus efficaces, intégrant des couches de protections avancées telles que les anti-exploits ou encore la protection contre les attaques sans fichier (fileless attacks).
Comment des solutions de sécurité des endpoints efficaces et les antivirus peuvent-ils éliminer ces vulnérabilités ?
·Même si de nouvelles menaces telles que les ransomwares sont inconnues de l’antivirus, les produits de sécurité les plus efficaces s’appuient sur des algorithmes automatisés avancés qui ont évolué au fil du temps. Ils permettent d’identifier précisément des activités ou des fichiers malveillants basés sur des schémas déjà observés.
·Certains produits incluent des technologies anti-exploits capables d’identifier des techniques d’exploits telles que le ROP (Return-Oriented Programming). En ciblant les techniques utilisées dans la plupart des exploits et en analysant les évènements liés à la mémoire, ces technologies protègent également les utilisateurs contre les vulnérabilités inconnues et non corrigées.
·Des attaques sans fichier ou des attaques ciblées plus avancées sont évitables ou détectables à l’aide de couches de sécurité supplémentaires qui ne sont malheureusement pas encore adoptées par la majorité des MSP. Ces couches sont capables d’analyser des commandes dans la mémoire lorsqu’aucun fichier n’est présent, de tester des fichiers dans un environnement de sandbox, de fournir un contexte de menaces et de détecter des failles de sécurité en cours sur la base d’indicateurs de compromission.
Les fournisseurs de services managés capables d’utiliser ces technologies sont en mesure de réduire significativement les risques tant pour leurs clients, que pour leurs propres systèmes. C’est pourquoi, il est particulièrement intéressant d’évaluer ces capacités et mettre en œuvre des outils dont l’efficacité supérieure en termes de détection des attaques avancées a été démontrée.