ExtraHop lance des capacités novatrices de déchiffrement et de détection des menaces pour les environnements Microsoft
novembre 2021 par Marc Jacob
ExtraHop annonce l’extension de sa capacité de déchiffrement pour les protocoles d’authentification et de niveau applicatif de Microsoft. Elle améliore ainsi la fiabilité de détection des activités malveillantes liées à près de deux tiers des protocoles réseau les plus exploités. Cette capacité unique de déchiffrement permet de détecter de nouvelles attaques avancées, notamment de type Lotl (Living off the land) et Active Directory Kerberos Golden Ticket, qui exploitent les protocoles propriétaires de Microsoft pour échapper aux contrôles de sécurité et aux outils classiques de surveillance tels que les firewalls de nouvelle génération (NGFW) et les proxies web. Ce déchiffrement avancé détecte également l’exploitation de vulnérabilités (CVE) à haut risque, par exemple PrintNightmare, ZeroLogon et ProxyLogon, et assure une défense proactive contre les futures failles Zero Day.
Selon un avis de cybersécurité conjoint émis par le FBI, la CISA, le UK National Cyber Security Centre et l’Australian Cyber Security Centre, des protocoles chiffrés tels que Microsoft SMB (Server Message Block) v3 sont utilisés pour masquer des mouvements latéraux et d’autres tactiques avancées dans 60 % des 30 vulnérabilités réseau les plus exploitées. Parmi les 11 vulnérabilités les plus exploitées, quatre concernent des systèmes Microsoft, dont trois via un canal chiffré.
A la différence des NGFW et des proxies web, ExtraHop Reveal(x) 360 détecte de nouvelles techniques d’attaque complexes grâce au déchiffrement en temps réel des protocoles Microsoft les plus couramment sujets à des abus, tels que SMBv3, Active Directory Kerberos, MS-RPC (Microsoft Remote Procedure Call), NTLM, LDAP, WINRM, aux côtés de TLS 1.3. Cette capacité de déchiffrement permet également de détecter les activités post-compromission qui échappent à l’analyse du trafic chiffré (ETA), notamment les campagnes de ransomware exploitant la vulnérabilité PrintNightmare.
ExtraHop Reveal(x) 360 va bien au-delà de l’identification et de l’analyse statistique limitées des protocoles offerts par les NGFW, les proxies web et l’ETA. Celle-ci déchiffre et analyse entièrement, en toute sécurité, les protocoles d’authentification Microsoft Active Directory (Kerberos et NTLM) ainsi que les protocoles Microsoft Windows de niveau applicatif, au moyen d’un déchiffrement passif « out of band » pour une détection rapide et précise de l’activité des menaces avancées. Reveal(x) 360 fournit également des données d’enregistrement au niveau forensique sur le trafic chiffré, notamment les requêtes SQL spécifiques, les commandes envoyées via MS-RPC et les comportements d’énumération LDAP, pour une investigation et une réponse complète. Avec Reveal(x) 360, les entreprises peuvent :
_ ? bloquer les tentatives d’accès non autorisé et d’escalade des privilèges via l’infrastructure Microsoft Active Directory ;
_ ? surveiller les tactiques Lotl utilisées pendant les mouvements latéraux est-ouest afin de révéler les menaces cachées ;
_ ? se défendre contre l’exploitation de vulnérabilités à haut risque, telles que PrintNightmare, et de Microsoft Active Directory dans des campagnes de menaces avancées lançant des attaques disruptives.