Crypto

Microsoft dploie une politique de scurit par dfaut sur Windows 11 qui contribuera grandement empcher les attaques par force brute. Les attaques dclencheront dsormais une politique de verrouillage de compte, qui verrouillera automatiquement tous les comptes dutilisateurs et dadministrateurs. La politique est conue pour verrouiller les comptes aprs dix tentatives de connexion infructueuses, empchant lexcution de lattaque par force brute.

La nouvelle politique se trouve dans Windows 11 Insider Preview Build 22528.1000 et versions ultrieures, et il est possible de modifier les paramtres selon les besoins. Les utilisateurs ont la possibilit de modifier non seulement le nombre d’entres de mot de passe incorrectes qui dclenchent un verrouillage, mais galement la dure pendant laquelle un compte doit tre verrouill.

Malgr leur anciennet et leur simplicit, les attaques par force brute ont connu une certaine rsurgence en raison des besoins actuels du lieu de travail. La pandmie de Covid-19 a contraint de nombreux employs et entreprises adopter et sappuyer sur diverses solutions distance. Lvolution de la connectivit sur le lieu de travail a entran une forte augmentation des attaques par force brute, passant de 150 000 attaques par an plus dun million au dbut de la pandmie.

En effet, lors de l’dition 2022 de la confrence sur la scurit RSA qui a eu lieu en fvrier, l’agent spcial du FBI Joel DeCapua a dclar que le protocole Windows Remote Desktop Protocol (RDP) est la mthode la plus courante utilise par les attaquants de ransomware pour accder un rseau avant de dployer le ransomware. RDP reprsente toujours 70 80*% de la base initiale utilise par les acteurs du ransomware , a dclar DeCapua dans son discours. Par consquent, si vous utilisez RDP dans votre organisation, il est recommand d’utiliser l’authentification au niveau du rseau (NLA), qui oblige les clients s’authentifier auprs du rseau avant de se connecter au serveur de bureau distance. Cette disposition amliore la scurit car elle ne permet pas l’attaquant d’accder un serveur RDP tant qu’il n’est pas authentifi et offre ainsi une meilleure protection contre les exploits de pr-authentification. Il est galement suggr d’utiliser des mots de passe uniques et complexes pour vos comptes RDP.

C’est dans ce contexte que Microsoft a introduit une politique de scurit dans Windows 11 qui rend beaucoup plus difficile l’utilisation d’attaques par force brute pour dchiffrer les mots de passe. Par le biais de David Weston, vice-prsident de Microsoft en charge de la scurit du systme dexploitation et des offres entreprises, l’entreprise a annonc lactivation, par dfaut, dans Windows 11, dune rgle susceptible de ralentir significativement les attaques en force brute contre les services de dport daffichage (RDP). Pour mmoire, Remote Desktop Protocol (RDP) est un protocole qui permet un utilisateur de se connecter sur un serveur excutant Microsoft Terminal Services. Des clients existent pour la quasi-totalit des versions de Windows, et pour d’autres systmes d’exploitation, comme les systmes GNU/Linux.

partir des dernires versions d’Insider, une nouvelle politique de verrouillage de compte est en place par dfaut. Si un mot de passe incorrect est entr 10 fois, le compte sera verrouill pendant 10 minutes. Bien que cela ne rende pas les attaques par force brutes impossibles mener bien, cela les rend beaucoup plus difficiles raliser et consomme beaucoup plus le temps des cybercriminels, renforant la scurit dans un domaine important. Soulignons que certains lments comme le nombre de mots de passe incorrects entrs qui provoquent le verrouillage, ou la dure pendant laquelle un compte sera verrouill, sont paramtrables.

La dcision de Microsoft est un norme pas en avant dans la rduction de lefficacit de lune des vulnrabilits les plus anciennes et les plus simplistes qui affligent les utilisateurs du monde entier. Malgr la nouvelle politique, les utilisateurs doivent toujours appliquer de bonnes pratiques de scurit en crant des mots de passe complexes en utilisant une longueur de caractres accrue, une casse de caractres varie, des chiffres et (lorsque cela est autoris) des caractres spciaux.

Microsoft bloque lentement les vecteurs d’attaque les plus populaires

Microsoft bloquera les macros Office par dfaut partir du 27 juillet

Microsoft a confirm qu’il commencerait bientt bloquer par dfaut les macros Visual Basic Applications (VBA) dans les applications Office aprs avoir discrtement annul le changement plus tt ce mois-ci.

Dans une nouvelle mise jour, la grande enseigne de la technologie a dclar qu’elle commencerait bloquer les macros Office par dfaut partir du 27 juillet. Cela survient peu de temps aprs que Microsoft a interrompu le dploiement de la fonction de blocage des macros en citant des commentaires d’utilisateurs non spcifis. On pense que le dploiement initial, qui a dbut dbut juin, a caus des problmes aux organisations utilisant des macros pour automatiser les processus de routine, tels que la collecte de donnes ou l’excution de certaines tches.

Dans une dclaration, Microsoft a dclar avoir suspendu le dploiement pendant qu’il apporte quelques modifications supplmentaires pour amliorer la convivialit . La socit a depuis mis jour sa documentation avec des instructions tape par tape pour les utilisateurs finaux et les administrateurs informatiques expliquant comment Office dtermine s’il faut bloquer ou excuter des macros, quelles versions d’Office sont affectes par les nouvelles rgles, comment autoriser les macros VBA dans les fichiers de confiance et comment se prparer au changement.

Les macros constituent un vecteur d’attaque populaire dans le rang des cybercriminels. Dans le cadre de ces attaques, les utilisateurs reoivent gnralement un document par courrier lectronique ou qu’ils sont invits tlcharger sur un site Web. l’ouverture du fichier par la victime, l’attaquant laisse gnralement un message demandant l’utilisateur de permettre l’excution de la macro. Bien que les utilisateurs ayant des connaissances techniques et en cyberscurit soient capables de reconnatre ce pige et de se faire quand mme infecter par des logiciels malveillants, de nombreux utilisateurs quotidiens d’Office ignorent encore cette technique.

Ils finissent alors par suivre les instructions fournies, s’infectant eux-mmes avec des logiciels malveillants. La gestion de ce problme a t une pine dans le pied de Microsoft, car les macros VBA sont souvent utilises dans les entreprises pour automatiser certaines oprations et tches lors de l’ouverture de certains fichiers, comme l’importation de donnes et la mise jour du contenu du document partir de sources dynamiques. Depuis le dbut des annes 2000, Microsoft a tent de rsoudre ce problme en affichant un lger avertissement de scurit sous la forme d’une barre d’outils en haut du document.

Mais en fvrier, Microsoft a annonc son intention de dsactiver les macros par dfaut en fvrier pour empcher les acteurs malveillant d’abuser de la fonctionnalit pour diffuser des logiciels malveillants via des pices jointes aux e-mails.

Ce changement, rclam depuis des annes par les chercheurs en scurit, est peru comme une barrire srieuse contre les acteurs malveillants du Web, qui incitent les utilisateurs autoriser l’excution d’une macro infecte afin d’installer des logiciels malveillants sur leurs systmes.

Avec ce changement, lorsque des fichiers qui utilisent des macros seront tlchargs depuis Internet, ces macros seront dsormais entirement dsactives par dfaut. Contrairement aux anciennes versions d’Office, qui affichent une bannire d’alerte sur laquelle il est possible de cliquer pour autoriser l’excution des macros, la nouvelle version de la bannire ne propose aucun moyen de les activer.

Authentification multficateur dans Azure AD

Pour contrecarrer les attaques par mot de passe et par hameonnage, Microsoft a dploy des paramtres de scurit par dfaut pour un grand nombre d’utilisateurs d’Azure Active Directory (AD).

Microsoft a commenc dployer les valeurs par dfaut de scurit pour les clients qui ont cr un nouveau compte Azure AD aprs octobre 2019, mais n’a pas activ les valeurs par dfaut pour les clients qui ont cr des comptes Azure AD avant octobre 2019.

En mai, Microsoft a annonc que les valeurs par dfaut de scurit d’Azure AD taient utilises par environ 30 millions d’organisations. L’entreprise a indiqu cette priode que le mois suivant, elle allait dployer les valeurs par dfaut dans de nombreuses autres organisations, ce qui entranera la protection par dfaut de 60 millions de comptes supplmentaires. Une fois termin, ce dploiement protgera 60 millions de comptes supplmentaires (soit peu prs la population du Royaume-Uni*!) contre les attaques d’identit les plus courantes , a dclar Alex Weinert, directeur de la scurit des identits chez Microsoft.

Aussi, avec toutes ces mesures, la socit bloque lentement tous les vecteurs d’entre utiliss par les oprateurs de ranongiciels pour pntrer par effraction dans les rseaux et systmes Windows.

Azure AD est le service cloud de Microsoft pour la gestion de l’identit et de l’authentification des applications sur site et cloud. C’tait l’volution des services de domaine Active Directory dans Windows 2000. Microsoft a introduit des valeurs par dfaut scurises en 2019 en tant qu’ensemble de base de mcanismes de scurit d’identit pour les organisations moins bien dotes qui souhaitaient renforcer les dfenses contre les attaques par mot de passe et par hameonnage. Il s’adressait galement aux organisations utilisant le niveau gratuit de licence Azure AD, permettant ces administrateurs de simplement basculer sur les valeurs par dfaut de scurit via le portail Azure.

Une politique disponible pour les systmes Windows 10, mais pas par dfaut

La politique de verrouillage de compte est galement disponible sur les systmes Windows 10. Cependant, malheureusement, elle n’est pas active par dfaut, ce qui permet aux attaquants de se frayer un chemin dans les systmes Windows avec des services RDP (Remote Desktop Protocol) exposs.

Les administrateurs peuvent configurer cette stratgie sur Windows 10 dans la console de gestion des stratgies de groupe partir de Configuration ordinateurPolitiquesParamtres WindowsParamtres de scuritPolitiques de comptePolitique de verrouillage du compte.

Il s’agit d’une amlioration cruciale de la scurit car de nombreux serveurs RDP, en particulier ceux utiliss pour aider les tltravailleurs accder aux actifs de l’entreprise, sont directement exposs Internet, exposant le rseau des organisations des attaques lorsqu’ils sont mal configurs.

Pour mettre les choses en perspective, les attaques ciblant les services RDP ont connu une forte augmentation depuis au moins la mi-fin 2016, commencer par la popularit croissante des places de march du dark web qui vendent l’accs RDP aux rseaux compromis, selon un rapport FBI IC3 de 2018.

Des dcisions accueillies chaleureusement par les professionnels de la scurit

Le nouveau contrle de verrouillage des comptes a t applaudi par les experts en cyberscurit.

Nous pouvons citer Kevin Beaumont, qui a tweet :

Citation Envoy par Kevin Beaumont

oh mon dieu, ils s’occupent du problme d’entre RDP – entre les macros et RDP, cela fait presque toutes les entres de ransomware Windows/MS.

Je dois une bire Dave

(… une fois qu’il est rtroport sur les anciens systmes d’exploitation et gnralement disponible …)

Citation Envoy par Kevin Beaumont

Le correctif RDP brute force est rtroport vers les versions Windows (prises en charge ?).

En supposant qu’il se trouve dans un correctif de scurit mensuel (distribution tendue), cela rsoudra l’un des principaux points d’entre des ransomwares (source : mon quipe traite 5*000*incidents de scurit par an) .

Sources : David Weston, Alex Weinert

Et vous ?

Qu’en pensez-vous ?

Back to top button

Adblock Detected

Please consider supporting us by disabling your ad blocker.