Posté le septembre 16, 2022 à 6:02
LES HACKERS PEUVENT DÉSORMAIS CONTOURNER LES DÉFENSES DE SÉCURITÉ GRÂCE À UNE NOUVELLE VARIANTE DE PSEXEC
Les experts en cybersécurité ont créé une nouvelle façon de mettre en œuvre l’utilitaire PsExec de Sysinternals permettant le mouvement latéral dans un réseau par le seul port TCP 135 de Windows qui est moins protégé.
La nouvelle version de PsExec contourne les défenses de sécurité
PsExec est créé pour aider les administrateurs à exécuter des processus à distance sur les machines du réseau sans installer de client. Les hackers ont également commencé à utiliser cet outil et l’ont fréquemment utilisé dans la phase suivant l’exploitation.
Le PsExec original fonctionne sur la suite d’utilitaires Sysinternals, et il existe une mise en œuvre au sein de la collection Impacket sur les classes Python supportant le travail avec les protocoles réseau. Il prend également en charge SML aux côtés d’autres protocoles tels que IP, UDP et TCP qui prennent en charge les connexions pour HTTP, LDAP (Lightweight Directory Access Protocol) et Microsoft SQL Server.
La version originale et la version Impacket fonctionnent de manière similaire, et elles utilisent une connexion SMB. Elles reposent également sur le port 445, qui doit être ouvert pour la communication sur la plate-forme de partage de fichiers du réseau SMB.
Il existe également une gestion des services Windows, notamment la création, l’exécution, le démarrage et l’arrêt via des appels de procédure à distance (RPC). RPC est un protocole qui prend en charge la communication de haut niveau avec le système d’exploitation.
Pour une fonctionnalité supplémentaire, il est nécessaire d’utiliser le port 135. Cependant, le blocage du port n’empêche pas l’acteur de la menace de finaliser l’attaque. Par conséquent, le port 445 est nécessaire au fonctionnement de PsExec.
Les défenses de sécurité se concentrent principalement sur le blocage du port 445, qui est nécessaire à PsExec pour exécuter des commandes ou des fichiers, ce qui fonctionne dans la plupart des cas. Cependant, le travail effectué par ces défenseurs n’est pas suffisant.
Selon Bleeping Computer, les chercheurs de Pentera, une société fournissant des solutions de validation de sécurité automatisées, ont mis en place l’outil PsExec fonctionnant sur le port 135. Cette mesure a apporté des changements dans le secteur de la défense, car le blocage du port 445 pour empêcher l’activité malveillante de PsExec n’est pas fiable pour la plupart des attaques.
Dans son rapport, le chercheur principal en sécurité de Pentera, Yuval Lazar, a affirmé avoir détecté que le protocole SMB était utilisé pour télécharger le binaire et transmettre les entrées et les sorties. Le chercheur a ajouté que les commandes ont été exécutées à l’aide de Distributed Computing Environment ou de Remote Procedure Calls et de processus qui s’exécutent malgré la sortie.
La variante PsExec proposée par Pentera intègre une connexion RPC qui permet aux chercheurs de lancer un service exécutant une commande arbitraire sans communiquer via le port SMP 445 pour la sortie ou le transport.
Une surveillance accrue de la sécurité est nécessaire
La variante proposée par Pentera augmente les chances que des activités passent inaperçues au sein d’un réseau. Selon Lazar, cela est dû au fait que de nombreuses organisations appliquent des mesures d’atténuation de la sécurité en fonction du SMB et du port 445, tout en négligeant d’autres ports importants comme le 135.
Lazar a également déclaré que d’autres implémentations de PsExec devaient utiliser SMB car elles étaient basées sur le fichier. En revanche, la variante proposée par Pentera était sans fichier, ce qui la rend plus difficile à détecter.
Le chercheur a en outre déclaré que certaines vulnérabilités de sécurité, telles que PetitPotam et DFSCoerce, ont suscité des inquiétudes concernant les risques RPC, et que les mesures d’atténuation n’ont pas mis l’accent sur la surveillance de DCE/RPC.
Le rapport de Pentera indique en outre que le contrôle du trafic RPC est impopulaire dans le monde de l’entreprise, de sorte que les défenses de sécurité ne peuvent pas détecter que RPC peut représenter une menace pour la sécurité si le réseau n’est pas surveillé.
Will Dormann, analyste des vulnérabilités au CERT/CC, a déclaré que le blocage du port TCP 445 ne suffisait pas à lui seul à empêcher les activités malveillantes dépendant de l’outil.
Les hackers mènent des attaques en utilisant PsExec depuis longtemps. La pratique est surtout populaire auprès des attaquants de ransomware qui l’adoptent pour lancer des logiciels malveillants de cryptage de fichiers. Un exemple est le ransomware NetWalker qui a utilisé PsExec pour exécuter une charge utile sur tous les systèmes d’un domaine.
Récemment, le groupe Quantum ransomware a utilisé PsExec et WMI pour crypter des systèmes lors d’une attaque qui a duré deux heures après le déploiement du logiciel malveillant IcedID. En juin, Microsoft a publié un rapport détaillant une attaque par le ransomware BlackCat qui a utilisé PsExec pour déployer la charge utile du ransomware.
Un autre exemple est la violation de Cisco menée par le groupe de ransomware Yanluowang qui a utilisé PsExec. Dans cette attaque, le groupe ransomware a ajouté des valeurs au registre à distance, ce qui a permis au hacker d’exploiter les fonctions d’accessibilité de l’écran de connexion de Windows. L’ampleur de chacune de ces attaques montre le risque croissant entourant PsExec. Elle prouve également qu’il est nécessaire de renforcer la surveillance, en particulier dans le secteur des entreprises.
