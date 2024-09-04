Les entreprises continuent de mettre en œuvre des services basés sur le cloud, une évolution qui a conduit à une adoption plus large des environnements d’identité hybride qui connectent Active Directory sur site à Microsoft Entra ID (anciennement Azure AD). Pour gérer les appareils dans ces environnements d’identité hybride, Microsoft Intune (Intune) s’est imposée comme l’une des solutions de gestion des appareils les plus populaires. Comme cette plateforme d’entreprise de confiance peut facilement être intégrée aux dispositifs et services Active Directory sur site, elle constitue une cible de choix pour les attaquants, qui peuvent en abuser pour effectuer des mouvements latéraux et exécuter du code.
Cette recherche s’intéresse à Intune, son utilisation au sein des entreprises et comment exploiter cette plateforme cloud pour déployer des applications Windows personnalisées afin d’exécuter du code sur les appareils utilisateurs. Retrouvez aussi une publication publique de nouvelles règles Sentinel pour aider les défenseurs à détecter l’utilisation d’Intune pour réaliser des mouvements latéraux et les directives de durcissement défensif de la plateforme Intune.
Andy Robbins a écrit un excellent article de blog en 2020 intitulé, « Death from Above: Lateral Movement from Azure to On-Prem AD », qui explique comment abuser d’Intune pour déployer un script PowerShell sur des hôtes ciblés. Il partage aussi des conseils défensifs pour se protéger contre ce scénario d’attaque. Les résultats de la recherche X-Force s’appuient sur les recherches d’Andy Robbins, en montrant comment réaliser une exécution de code ciblée à l’aide d’applications Windows et comment réaliser un déclenchement ad hoc qui conduit les hôtes Windows à télécharger et exécuter ces applications. Cette recherche inclut également les nouvelles règles Microsoft Sentinel visant à détecter les utilisations abusives d’Intune pour réaliser des mouvements latéraux, ainsi que des directives de durcissement pour la plateforme Intune.
Chris Thompson a publié un outil nommé Maestro lors de la DEF CON 32 Demo Labs qui peut être utilisé pour reconnaître des utilisateurs et des appareils via Intune, ainsi que pour exécuter des commandes via des scripts PowerShell Intune ou des applications Windows à partir d’un cadre des exigences C2. Ne passez pas à côté de cet outil et des recherches de Chris Thompson ! La recherche X-Force suivante est différente, car elle montre comment mener cette activité de mouvement latéral via l’interface web Microsoft Intune et comment empaqueter plusieurs fichiers à déployer dans le cadre d’une application Windows personnalisée pour l’exécution de code. En outre, cette recherche X-Force présente davantage de moyens de déclencher l’exécution de scripts PowerShell Intune et d’applications Windows, ainsi que la publication de la logique des règles de détection Microsoft Sentinel pour détecter les mouvements latéraux faisant une utilisation abusive d’Intune.
De nombreuses entreprises ont commencé à adopter un environnement d’identité hybride : une connexion d’un environnement Active Directory sur site avec Microsoft Entra ID (anciennement Azure AD). Cela permet aux entreprises d’être plus flexibles et plus efficaces, ce qui inclut une meilleure gestion des appareils des utilisateurs et de l’accès des utilisateurs aux applications basées sur le cloud. Plus précisément, lorsque les appareils sont connectés en mode hybride, ils sont visibles et peuvent être gérés à la fois dans Active Directory et Microsoft Entra ID sur site. En raison de cette configuration, la compromission des solutions de gestion d’appareils basées sur le cloud peut faciliter le mouvement latéral vers les appareils sur site, tels que les postes de travail des utilisateurs reliés de manière hybride.
Microsoft Intune est une solution de gestion d’appareils basée sur le cloud qui peut être utilisée pour gérer la configuration des appareils connectés à Azure, tels que les appareils reliés de manière hybride. Les sections suivantes expliquent aux entreprises comment utiliser et gérer Intune.
Microsoft propose plusieurs solutions pour gérer les appareils au sein d’une entreprise. Certaines de ces solutions sont répertoriées ci-dessous :
Les principaux cas d’utilisation stratégiques de Microsoft Intune par les entreprises sont les suivants :
Microsoft fournit une documentation détaillée sur les différents rôles disponibles dans Intune, ainsi que les privilèges de chaque rôle. Les deux rôles privilégiés dans Intune qui permettent la création de scripts PowerShell ou d’applications Windows sont Administrateur général et Administrateur de service Intune (également appelé Administrateur Intune).
Il existe plusieurs options pour exécuter du code sur des hôtes Windows via Microsoft Intune. Les scripts PowerShell peuvent être déployés pour permettre l’exécution de code via l’exécution directe de commandes dans le script. D’autres types d’exécution de code sur les appareils Windows comprennent le déploiement d’applications. Voici quelques-uns des principaux types d’applications :
Les fichiers journaux sont écrits par Intune Management Extension dans C:\ProgramData\Microsoft\IntuneManagementExtension\Logs. Ces journaux peuvent être utiles pour savoir quand un appareil s’enregistre auprès d’Intune et si des scripts PowerShell ou des applications Windows ont été exécutés.
Lorsque Intune exécute un script PowerShell, il crée une copie temporaire du script sur le disque dans C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Scripts, puis stocke les résultats du script dans C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Results. Une fois le script terminé, le script temporaire et les résultats sont supprimés.
Lorsque Intune exécute une application Windows, celle-ci est déployée et exécutée depuis C:\Windows\IMECache\[UNIQUE_GUID]. Une fois l’exécution de l’application terminée, le répertoire est supprimé.
Il existe plusieurs techniques de mouvement latéral bien connues des fournisseurs de produits de sécurité et des spécialistes de la sécurité défensive, dont la documentation est facilement accessible grâce au cadreMITRE ATT&CK. Ces techniques de mouvement latéral Windows tirent principalement profit des protocoles et services administratifs qui peuvent exécuter des programmes ou des scripts. Parmi les techniques courantes de mouvement latéral utilisées par les acteurs de la menace et les spécialistes de la sécurité offensive figurent l’utilisation de Windows Management Instrumentation (WMI), de tâches planifiées, de services et d’objets DCOM pour exécuter des programmes ou scripts. Du point de vue de la sécurité opérationnelle, il est essentiel de trouver une technique unique capable d’exécuter des scripts et des programmes tout en provenant d’un logiciel fiable. Ces techniques peuvent se fondre dans l’activité normale d’une entreprise et être ignorées par les équipes de sécurité défensives.
Si vous avez compromis un utilisateur Azure avec les autorisations appropriées indiquées dans la section Accès basé sur les rôles dans Microsoft Intune, vous pouvez exécuter du code sur n’importe quel hôte Windows sur lequel l’agent Intune est installé en déployant des scripts PowerShell ou une application Windows. Cela peut servir de déclencheur d’exécution d’un mouvement latéral furtif et unique provenant d’un logiciel d’entreprise de confiance.
Le scénario présenté dans la section suivante suppose l’obtention d’un accès privilégié au centre d’administration Intune. En outre, dans le cadre de ce scénario, l’objectif est d’obtenir un accès interactif de commande et de contrôle (C2) via une balise Cobalt Strike sur un hôte cible tout en utilisant Intune comme déclencheur d’exécution d’un mouvement latéral.
Intune utilise les groupes Entra ID pour contrôler où les scripts ou applications sont exécutés. Ainsi, si un hôte ou un groupe d’hôtes que vous ciblez n’est pas déjà membre d’un groupe, vous devrez leur en créer un afin de pouvoir contrôler où votre script ou application est exécuté. En général, dans les environnements d’identité hybride, vous pouvez consulter les appareils associés à un utilisateur dans Entra ID. Vous pourrez ainsi créer une liste d’hôtes ciblés. Ces informations peuvent également être récupérées à l’aide d’outils et de scripts automatisés, tels que ROADtools.
Si vous devez créer un nouveau groupe Microsoft Entra ID pour attribuer un ou plusieurs de vos hôtes cibles, sélectionnez « Groupes » > « Nouveau groupe » dans le centre d’administration Intune.
Vous pouvez choisir de sélectionner soit les hôtes cibles, soit les utilisateurs, comme illustré dans les captures d’écran ci-dessous. Dans ce cas, nous créons un groupe pour cibler l’hôte WIN-8675309.
Un résumé de votre groupe sera affiché et vous pourrez ensuite le créer.
Il existe plusieurs façons d’effectuer un déclenchement ad hoc immédiat de votre script PowerShell déployé ou de votre application Windows à partir d’Intune. En voici quelques exemples :
Vous pouvez également attendre le prochain redémarrage de l’appareil ou la prochaine inscription de l’agent Intune de l’hôte dans Intune pour les nouveaux scripts PowerShell ou applications Windows.
Déployer une application Windows au lieu d’un script PowerShell est une méthode alternative pour exécuter du code. Cette méthode est plus flexible, car elle permet d’empaqueter plusieurs fichiers déployés et exécutés sur un hôte cible par l’agent Intune. Du point de vue de l’attaquant, c’est avantageux pour le déploiement de charges utiles, comme le déploiement d’une charge utile DLL sideloading qui nécessite plusieurs fichiers. Le processus de déploiement d’une charge utile sideload DLL Dism.exe via une application Windows Intune est détaillé ci-dessous.
Utilisez l’outil Win32 Content Prep Tool de Microsoft pour intégrer les fichiers de la charge utile dans un fichier .intunewin. Il s’agit d’un format de fichier compressé qui permet le déploiement sécurisé d’une application. Vous trouverez des détails sur le fonctionnement de cet emballage dans cet article de blog. Dans cet exemple, nous avons un répertoire qui contient un fichier exécutable et un fichier DLL. Nous utilisons l’outil Win32 Content Prep Tool pour empaqueter ces fichiers dans un fichier .intunewin.
Le fichier de sortie .intunewin sera écrit dans le répertoire de sortie que vous avez spécifié. Ici, nous avons empaqueté Dism.exe et DismCore.dll dans le fichier Dism.intunewin.
Maintenant que vous avez créé le paquet d’applications Windows, vous pouvez le déployer. Dans le centre d’administration d’Intune, accédez à « Applications » > « Applications Windows » > « Ajouter ».
Sélectionnez « Application Windows (Win32) » dans le menu déroulant :
Chargez le fichier .intunewin qui a été créé précédemment et remplissez les informations relatives à votre application.
Ensuite, ajoutez une commande install, qui sera l’exécutable (Dism.exe) dans ce cas. Pour la commande uninstall, vous pouvez saisir n’importe quoi. De plus, nous avons choisi d’exécuter cette application en tant que « Système ». Pour le comportement de redémarrage de l’appareil, nous avons sélectionné « Aucune action spécifique ». Lorsque vous choisissez « Système », cela signifie que l’application sera exécutée en tant que compte NT AUTHORITY\SYSTEM.
Les règles de détection sont utilisées pour empêcher l’installation d’une application alors qu’elle existe déjà. Par conséquent, si le résultat d’une règle de détection est positif, aucune application ne sera installée. Comme nous voulons que notre application fonctionne quoi qu’il arrive, nous avons chargé un script PowerShell qui tente d’exécuter un binaire inexistant. De cette façon, le script de détection échouera toujours, ce qui signifie que l’application n’est pas présente, et l’installation se poursuivra.
Passez les sections « Dépendances » et « Remplacement » et ajoutez le groupe avec votre ou vos hôtes cibles dans la section « Affectations » :
Après avoir créé l’application Windows, vous la verrez dans le centre d’administration Intune et la colonne « Affecté » devrait indiquer « Oui ». Cela signifie que l’application a été affectée aux groupes que vous avez spécifiés et qu’elle attend d’être déployée et exécutée.
Pour effectuer un déclenchement ad hoc de l’agent Intune sur l’hôte cible, nous allons redémarrer le service « IntuneManagementExtension ». Il peut falloir jusqu’à cinq minutes après le redémarrage du service pour que l’hôte cible télécharge et exécute votre application Windows depuis Intune. Si l’hôte cible n’a pas téléchargé et exécuté votre application Windows au bout de cinq minutes, il se peut que le service doive être redémarré. D’autres méthodes de déclenchement ad hoc sont disponibles dans la section Déclenchement ad hoc.
Après le redémarrage du service, vous pouvez surveiller AgentExecutor.loget IntuneManagementExtension.logdans le répertoire C:\ProgramData\Microsoft\IntuneManagementExtension\Logs sur l’hôte cible. Une fois la dernière date modifiée sur le fichier AgentExecutor.log,l’agent Intune doit avoir téléchargé et exécuté l’application Windows. De plus, vous pouvez surveiller le répertoire C:\Windows\IMECache pour voir quand les fichiers de votre application ont été téléchargés. Un sous-dossier sera créé avec un GUID unique.
À ce stade, l’application a été déployée et exécutée, et nous avons obtenu une balise Cobalt Strike sur l’hôte cible de WIN-8675309.
Plusieurs considérations défensives seront abordées dans cette section, afin d’améliorer la configuration de durcissement et les capacités de détection d’Intune contre les scénarios d’attaque décrits dans cette recherche.
Pour créer des règles de détection ou de traque des menaces pour les activités de mouvement latéral faisant une utilisation abusive d’Intune, vous devez d’abord activer la journalisation des audits. Dans le centre d’administration Intune, sélectionnez « Administration locataire » > « Paramètres de diagnostic » > « Ajouter un paramètre de diagnostic » :
Sélectionnez « AuditLogs » et « OperationalLogs », puis choisissez d’envoyer vos journaux vers un espace de travail Log Analytics :
Vous commencerez à voir les schémas IntuneAuditLogs et IntuneOperationalLogs se populer dans votre espace de travail Log Analytics.
Une fois que vous avez commencé à recevoir les journaux Intune dans votre espace de travail Log Analytics, vous pouvez utiliser cet espace de travail dans une instance Microsoft Sentinel pour commencer à construire des règles analytiques de traque des menaces qui seront expliquées dans la section suivante.
Il n’existe actuellement aucune règle analytique publique permettant à Microsoft Sentinel de détecter les scénarios d’attaque Intune décrits dans cette recherche. Par conséquent, les sections ci-dessous contiennent plusieurs éléments de logique de règles qui peuvent être appliqués en tant que règles analytiques planifiées dans Microsoft Sentinel pour les scénarios d’attaque suivants dans Intune :
Pour chacune de ces règles analytiques, il est recommandé d’effectuer des tests et des réglages dans votre environnement de manière appropriée. Les requêtes KQL mises en évidence ci-dessous peuvent être copiées et collées à partir de ce référentiel de requêtes KQL.
La logique de la règle liée ci-dessous vous alertera dès qu’un utilisateur crée un script PowerShell ou une application pour le déploiement.
CreatedPSScriptOrWindowsApp.kql
Un exemple de déclenchement de cette règle dans Microsoft Sentinel est présenté dans les captures d’écran ci-dessous.
La règle logique ci-dessous renvoie tous les utilisateurs ayant créé et supprimé un script PowerShell au cours des dernières 24 heures. Cela pourrait être la preuve qu’un attaquant tente de dissimuler ses traces après avoir déployé un script PowerShell.
Un exemple de déclenchement de cette règle dans Microsoft Sentinel est présenté dans les captures d’écran ci-dessous :
La règle logique ci-dessous renvoie tous les utilisateurs ayant créé puis supprimé une application Windows au cours des dernières 24 heures. Cela pourrait être la preuve qu’un attaquant tente de couvrir ses traces après avoir déployé une application.
CreatedAndDeletedWindowsApp.kql
Un exemple de déclenchement de cette règle dans Microsoft Sentinel est présenté dans les captures d’écran ci-dessous :
La règle logique mentionnée ci-dessous renvoie tous les utilisateurs qui ont créé un script PowerShell ou une application Windows et qui ont également redémarré leur appareil au cours des dernières 24 heures.
CreatedPSScriptOrWindowsAppForcedRestart.kql
Un exemple de déclenchement de cette règle dans Microsoft Sentinel est présenté dans les captures d’écran ci-dessous :
La logique de la règle ci-dessous renvoie tous les utilisateurs qui ont créé un script PowerShell ou une application Windows et qui ont synchronisé un appareil dans les dernières 24 heures.
CreatedPSScriptOrWindowsAppForcedSync.kql
Un exemple de déclenchement de cette règle dans Microsoft Sentinel est présenté dans les captures d’écran ci-dessous :
Des politiques d’approbation peuvent être créées afin qu’un membre d’un groupe spécifié soit tenu d’approuver tout nouveau déploiement de script ou d’application. L’application de ces stratégies en conjonction avec les règles de détection décrites précédemment peut considérablement renforcer la stratégie de sécurité de votre instance Intune.
Accédez à « Administration du locataire » > « Approbation multi-administrateurs » > « Politiques d’accès » > « Créer ».
Remplissez les informations requises, telles que le nom de la politique d’accès, la description et le type de profil. Pour le type de profil, sélectionnez « Script ».
Ajoutez un ou plusieurs groupes responsables d’approuver tout nouveau déploiement de scripts.
Une fois votre politique créée, elle sera populée dans l’onglet « Politiques d’accès ».
Maintenant que la politique est appliquée, lorsqu’un utilisateur tente de créer un nouveau script, il recevra le message ci-dessous. Après avoir soumis la demande avec justification métier, un approbateur d’un groupe spécifié devra autoriser le déploiement du script.
Les mêmes étapes précédemment décrites peuvent également être effectuées pour exiger l’approbation de tout déploiement d’application. Assurez-vous de choisir « Application » dans le menu déroulant Type de profil lors de la création de la politique d’accès.
Vous pouvez voir un résumé de la politique que nous avons créée et qui inclut le type de profil « Application ».
Maintenant que la politique est appliquée, lorsqu’un utilisateur essaie de créer une nouvelle application, il recevra le message ci-dessous. Après avoir soumis la demande accompagnée d’une justification métier, un approbateur d’un groupe d’approbation spécifié devra l’approuver avant que l’application ne soit déployée.
Microsoft propose un guide des bonnes pratiques pour Microsoft Entra ID qui fournit des conseils détaillés sur la sécurisation de votre configuration Microsoft Entra ID. Voici quelques-unes des recommandations les plus importantes concernant l’utilisation abusive des rôles privilégiés dans Microsoft Intune :
L’adoption de l’architecture d’identité hybride et l’utilisation de services basés sur le cloud continuent d’augmenter. Les entreprises dépendent de ces services basés sur le cloud pour gérer leur infrastructure d’entreprise, ce qui inclut la gestion des points de terminaison des utilisateurs et des appareils personnels qui se connectent à Office 365 et à d’autres services basés sur le cloud. Détecter correctement les utilisations abusives de services basés sur le cloud tels que Microsoft Intune est donc aujourd’hui une véritable nécessité. X-Force souhaite que cette étude mette en évidence et inspire des recherches plus approfondies sur la défense d’autres services critiques basés sur le cloud qui peuvent être exploités par des acteurs malveillants pour des mouvements latéraux et l’exécution de code.
Nous tenons à remercier les personnes ci-dessous pour avoir partagé leur avis sur cette recherche et évalué le contenu des articles de blog :
