Les acteurs russes contournent le 2FA, ce qui s'est passé et comment l'éviter.

L'attaque remonte à mai 2021 et la victime était une organisation non gouvernementale. Voici comment les attaquants, en quelques mots, ont réussi à contourner le système :

• Ils ont eu de la chance que le mot de passe ait été mal choisi.
• J'ai trouvé un compte qui était resté actif pendant des années.
• Réenregistrer le compte dans le système 2FA, comme si l'utilisateur initial le réactivait.
• Connecté en tant que cet utilisateur
• Exploitation de la vulnérabilité de PrintNightmare pour obtenir un accès d'administrateur de domaine
• briser le système 2FA en modifiant sa configuration de manière à ce qu'il n'exige plus de réponses 2FA de quiconque

Une fois à l'intérieur, ils ont pu ajouter de nouveaux comptes, parcourir le réseau, consulter les données organisationnelles dans le nuage et les comptes de messagerie.

Comment prévenir ce type d'infiltration ?

• Choisir les bons mots de passe (consultez nos conseils sur les mots de passe sécurisés)
• Désactiver ou supprimer complètement les comptes inutilisés
• Ne réglez pas le 2FA sur "fail open".
• Réagir rapidement si les principaux éléments de sécurité du système cessent de fonctionner.
• Attribuer au personnel un point unique pour signaler les problèmes
• Surveillez régulièrement les journaux du système et les comportements à risque tels que la création de nouveaux comptes.
• Mettez toujours tout à jour afin de ne pas être exposé à des bogues indésirables.

Si vous n'avez pas l'expérience ou le temps de maintenir vous-même une réponse continue aux menaces, envisagez de vous associer à un service tel que Sophos Managed Threat Response.

Nous vous aidons à prendre en charge les tâches que vous avez du mal à accomplir en raison de toutes les autres exigences quotidiennes que l'informatique vous impose.

Les portes dérobées sont également dangereuses pour la sécurité de nos ordinateurs, pour en savoir plus, cliquez ici.