Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en lumière les cyberattaques liées à l'identité, notamment une attaque contre la société de radiodiffusion américaine Sinclair, les avertissements de Microsoft concernant la délégation de privilèges à des fournisseurs de services, et bien d'autres choses encore.
L'attaque de la chaîne de télévision Sinclair exploite Active Directory
Une attaque par ransomware a touché Sinclair Broadcast Group, qui possède ou exploite 186 chaînes de télévision américaines, et a ciblé le domaine Active Directory de l'entreprise.
Microsoft souligne le danger que représentent les privilèges d'accès risqués pour les fournisseurs de services
Microsoft a mis en garde les organisations contre les attaques - comme celle de SolarWinds - qui exploitent des autorisations d'accès risquées pour les fournisseurs de services. L'entreprise a notamment recommandé de revoir les authentifications associées aux changements de configuration d'Azure AD.
Les efforts des forces de l'ordre freinent les activités de REvil
Des entités gouvernementales internationales, y compris des organismes américains chargés de l'application de la loi, ont mis hors service des sites et des infrastructures web de REvil, un groupe de ransomware dont la tactique consiste notamment à exploiter les privilèges administratifs.
BlackMatter s'attaque à nouveau à Olympus
Quelques semaines après avoir signalé une attaque de ransomware sur son réseau EMEA, le fabricant mondial Olympus a signalé un deuxième incident qui a touché des systèmes aux États-Unis, au Canada et en Amérique latine. Les attaques sont attribuées à BlackMatter, un groupe qui utilise des tactiques telles que le déploiement d'un ransomware par le biais d'une tâche planifiée avec un script PowerShell sur un contrôleur de domaine.
Des chercheurs découvrent une vulnérabilité de Microsoft Exchange dans la fonction Autodiscover
Des chercheurs de Guardicore ont découvert qu'une mauvaise implémentation de la fonction Autodiscover dans Microsoft Exchange a provoqué une fuite d'au moins 100 000 noms de connexion et mots de passe de domaines Windows. Les attaquants peuvent exploiter cette faille en mettant en place des domaines d'authentification Autodiscover de haut niveau pour collecter les informations d'identification des utilisateurs.
Plus de ressources
Vous souhaitez renforcer les défenses de votre Active Directory contre les cyberattaques ? Consultez nos dernières ressources.
