L'incident Solarwinds (Solorigate) a fait émerger une quantité impressionnante de blogs et contenus de sécurité, alimentés autant par Microsoft que par d'autres fournisseurs. Même si votre entreprise n'a pas été directement touchée par l'attaque, il est important de s’interroger sur les mesures prises par vous et votre équipe pour protéger votre réseau contre ce type d'attaque. L’ensemble de ces ressources permettent de répondre à de nombreuses questions de manière appropriée.

Le centre de ressources de Microsoft

Le Solorigate Resource Center de Microsoft met en permanence à jour ses informations et ses techniques d'enquête et il mérite d’y consacrer du temps. Si vous êtes client Microsoft 365 ou Azure Active Directory (AD), consultez le manuel Azure AD pour évaluer les risques liés à SolarWinds. En premier lieu, vous devrez peut-être configurer un espace de travail Azure, puis les logs Azure AD avec les logs Azure Monitor pour accéder au cahier d’activité.

Voici comment procéder :

Connectez-vous au Portail Microsoft Azure et sélectionnez « Azure Active Directory », puis « Paramètres de Diagnostic » (Diagnostic settings), puis « Ajouter un paramètre de diagnostic » (Add diagnostic setting). Vous pouvez également sélectionner « Exporter les paramètres » (Export Settings) à partir de la page « Journaux d’audit » (Audit Logs) ou « Connexions » (Sign-ins) pour accéder à la page de configuration des paramètres de diagnostic. Dans le menu « Paramètres de Diagnostic » (Diagnostic settings), cochez la case « Envoyer vers l’Espace de travail Log Analytics » (Send to Log Analytics Workspace), puis sélectionnez « Configurer ». Sélectionnez ensuite l'Espace de travail Log Analytics (Log Analytics Workspace) auquel vous souhaitez envoyer les journaux ou créez un nouvel espace de travail dans la boîte de dialogue prévue à cet effet.

Envoyez les journaux d'audit à l'espace de travail Log Analytics en cochant la case « Journaux d’audit » (AuditLogs), ou vous pouvez envoyer les rapports de connexions à l'espace de travail Log Analytics en cochant la case « Rapports d’activité de connexion » (SignInLogs). Pour exporter les données de connexion, vous devez disposer d'une licence Azure AD P1 ou P2. Choisissez maintenant d'envoyer les informations vers un espace de travail Log Analytics (Log Analytics Workspace). Sélectionnez « Enregistrer » (Save) pour enregistrer le paramètre. Vous devrez peut-être attendre un peu (15 minutes en moyenne) pour que les « Rapports d’activité de connexion » (SigninLogs) se rendent compte que votre abonnement est assorti d'une licence P1.

Connectez-vous ensuite au Portail Microsoft Azure et naviguez jusqu'à « Azure Active Directory », puis jusqu'à la Surveillance Azure Active Directory » (Monitoring) et enfin jusqu'aux « Classeurs Azure Monitor » (Workbooks). Cherchez le « rapport d'opérations sensibles » (Sensitive operations report).

Vous devrez peut-être attendre que les données soient introduites dans le cahier de travail pour les analyser, mais vous pourrez éventuellement consulter les rapports suivants :

- Procédures pour créer une application et un principal de service Azure AD pouvant accéder aux ressources. Cette partie du rapport énumère toutes les nouvelles identités ajoutées aux applications et aux principaux services, y compris le type d’identité, les principaux rôles et le nombre de modifications d’identités qu'ils ont effectuées, ainsi qu'un calendrier pour tous les changements d’identité.

- Modification des paramètres d’un domaine fédéré. Cela comprend les modifications apportées aux approbations de fédération de domaines existants et l'ajout de nouveaux domaines et fédérations.

- Modifications du jeton d’actualisation Azure AD STS par les principaux de service et les applications autres que DirectorySync. Lors de l'examen des données de cette section, l'administrateur doit vérifier la période de validation des nouveaux jetons avec des valeurs élevées et rechercher s'il s'agit d'une modification légitime ou d'une tentative de persistance de la part de l'attaquant.

- Nouvelles permissions accordées aux principaux de services. Cette section donne accès aux différentes autorisations d’accès accordées uniquement via application Azure AD aux principaux de service existants. Les administrateurs doivent enquêter sur tout cas d'octroi d'autorisations excessivement élevées, y compris, mais sans s'y limiter, les droits Exchange Online, Microsoft Graph et Azure AD Graph.

- Mises à jour des rôles et des groupes d’administrateurs pour les principaux de service dans Azure AD. Cette section donne accès à l’aperçu de tous les changements apportés aux attributions du principal de service et doit être examinée pour tout ajout aux rôles et groupes disposant de privilèges élevés.

CISA Sparrow.ps1

La Cybersecurity and Infrastructure Security Agency (CISA) américaine a publié son outil gratuit, Sparrow.ps1, pour « détecter les activités inhabituelles et potentiellement malveillantes qui menacent les utilisateurs et les applications dans un environnement Azure/Microsoft O365 ». L’outil permet de détecter les comptes et applications potentiellement compromis dans un environnement Azure et Microsoft 365. L'outil « vérifiera et installera les modules PowerShell requis sur la machine d'analyse, vérifiera le journal d'audit unifié dans Azure/M365 pour certains indicateurs de compromission, dressera la liste des domaines Azure AD, et vérifiera les principaux services Azure et leurs autorisations Microsoft Graph API pour identifier les activités malveillantes potentielles. L'outil exporte ensuite les données dans plusieurs fichiers CSV dans un répertoire par défaut ».

La CISA a également publié un site récapitulatif énumérant les directives, alertes et conseils d'urgence ainsi que des outils tiers permettant d'identifier les points faibles.

CrowdStrike Reporting Tool pour Azure

L’outil gratuit CrowdStrike Reporting Tool (CRT) pour Azure permet d'identifier et d'atténuer les risques dans Azure Active Directory. CrowdStrike a constaté que les attaquants essayaient souvent de s'en prendre à un client Microsoft 365 en passant par les fournisseurs qui vendent, délivrent ou gèrent les abonnements Microsoft 365 au nom des clients. « Le 15 décembre 2020, CrowdStrike a été contacté par le Microsoft Threat Intelligence Center quand celui-ci a constaté que le compte Microsoft Azure d'un revendeur, utilisé pour gérer les licences Microsoft Office de CrowdStrike, avait passé, il y a plusieurs mois, des appels anormaux vers les API clouds de Microsoft pendant une durée de 17 heures. Microsoft avait confirmé qu’une tentative de lecture du courrier électronique avait échoué ».

Pour démarrer votre enquête, vérifiez quels fournisseurs tiers ont accès à votre abonnement Microsoft 365. Vérifiez avec ces partenaires quels sont les droits et les privilèges dont ils disposent sur votre compte. Ensuite, prenez en compte les suggestions de CrowdStrike et utilisez son outil pour passer en revue d’autres configurations. Au minimum, vous devriez avoir plusieurs fichiers de logs activés et saisis dans un processus de stockage des journaux. Les journaux suivants devraient être activés :

- Journal d'audit unifié

- Journaux d'activité Azure

- Journaux de Services Azure

- Journaux de flux NSG Azure

- Journaux Azure AD:

Journaux d’audit Azure AD

Journaux de connexions Azure AD

Journaux de connexions des identités managées Azure AD (Aperçu)

Journaux de connexions non interactives des utilisateurs Azure AD (Aperçu)

Journaux de connexions du principal de service Azure AD (Aperçu)

Provisionnement de journaux Azure AD

Détection d’évènements à risques Azure AD

À titre préventif, activez l'authentification à facteurs multiples (AFM) et veillez à ce qu'elle soit pleinement appliquée pour tous les utilisateurs. Ensuite, examinez les fichiers logs pour détecter toute nouvelle AFM inconnue, limitez les comptes de service des enregistrements d'AFM et surveillez l'utilisation de l'AFM. Pour vous assurer que les outils et applications de tierces parties ne sont pas utilisés par des attaquants pour contourner l'AFM, choisissez comme politique d'accès à l'AFM « Ne pas permettre aux utilisateurs de créer des mots de passe d'application pour se connecter à des applications sans navigateurs ». Ensuite, examinez et appliquez les stratégies d'accès conditionnel. Mettez en place des barrières géographiques ou des lieux de confiance. Vérifiez également que les lieux de confiance que vous avez mis en place sont ceux auxquels vous aviez l'intention de faire confiance et qu'aucun attaquant n'a ajouté d'exclusion dans ce domaine.

Ensuite, appliquez l'authentification moderne et le blocage de l'authentification héritée. Assurez-vous que les protocoles IMAP et POP sont bloqués et que leur utilisation est limitée. Bloquez les « Connexions risquées » (Risky Sign-ins) de gravité moyenne ou plus élevée et surveillez les demandes d'authentification provenant de fournisseurs d'identité inconnus. Surveillez l'ajout d'identifiants aux principaux de service. Enfin, activez les demandes de réinitialisation de mot de passe en libre-service (SSPR) pour informer les utilisateurs du changement de leur mot de passe.