Parce que… c’est l’épisode 0x357!

Shameless plug

• 21 au 23 novembre 2023 - European Cyber Week
• février 2024 - SéQCure
• Formation Crise et résilience
  • Ateliers et conférences (Auto évaluation)
  • Formation PCA 2022
  • 4 Guides pour survivre à une CyberCrise
  • Formation PCA en ligne

Description

Dans cet épisode, l’invité nous plonge dans l’univers du pentest cloud, en mettant particulièrement l’accent sur la phase d’accès initial, essentielle pour s’ancrer dans un système cible. Le discours s’appuie sur une série de concepts, d’exemples concrets et de techniques pour dépeindre le paysage des tests d’intrusion dans le cloud.

L’invité introduit la notion de TTP (Tactique, Technique et Procédures) et référence la matrice MITRE ATT@CK Enterprise, qui aide à définir la chaîne d’une attaque. Il met en lumière l’importance de l’accès initial dans le processus d’attaque, soulignant la variété de techniques et de procédures utilisées pour réaliser cette étape cruciale.

La discussion se centre ensuite sur les spécificités des environnements cloud, mentionnant des plateformes telles qu’AWS, Azure, et GCP. L’orateur explique que malgré l’existence de la matrice MITRE ATT@CK Cloud, de nombreux outils et ressources spécifiques sont nécessaires pour simuler et comprendre le cycle de vie d’une attaque dans ces environnements particuliers. Il cite l’exemple de Microsoft qui a créé Azureattaque matrix pour Azure et Microsoft 365, fournissant ainsi des détails plus précis pour la défense.

La conversation aborde les initiatives de la communauté et des éditeurs visant à améliorer et à affiner ces matrices d’attaque. L’orateur note que ces efforts sont essentiels car chaque CSP (Cloud Service Provider) a son propre nommage et ses spécificités, nécessitant des approches différentes pour identifier les vulnérabilités.

L’invité soulève également le problème récurrent des entreprises déployant des environnements cloud sans avoir une compréhension et une expertise suffisantes de la technologie. Il cite des exemples de failles de sécurité liées à des configurations incorrectes, des erreurs humaines et des permissions excessives.

Il évoque plusieurs techniques d’identification de vulnérabilités, y compris l’utilisation de Google Dorks et Bing Dorks, qui permettent de découvrir des ressources cloud spécifiques. L’orateur rappelle que l’Internet est permanent, et toute erreur devient publique et éternelle, soulignant l’importance de vérifications en amont.

La conversation explore ensuite différentes techniques de phishing basées sur le protocole OAuth. L’orateur détaille le processus du device code phishing et explique comment les attaquants créent des applications malveillantes, demandent le consentement des utilisateurs, et exploitent les permissions accordées pour accéder à des informations sensibles.

L’invité décrit également des exemples de scénarios où les utilisateurs accordent imprudemment des permissions, et comment cela peut être exploité. Il met en lumière la complexité et les défis liés à la gestion des droits dans les environnements cloud, et en particulier sur Azure.

Il mentionne les difficultés à suivre les mises à jour constantes et les changements dans le domaine du cloud, soulignant que cela rend la tâche encore plus ardue pour les professionnels de la sécurité. La transcription se termine sur une note de réflexion, laissant le lecteur à considérer les implications et les défis persistants dans le domaine du pentest cloud.

En conclusion, cet épisode offre un aperçu approfondi du pentest cloud et de ses diverses facettes. Elle souligne l’importance de l’accès initial, explore les défis liés aux environnements cloud spécifiques et aux différentes plateformes, et met en lumière les dangers liés à un manque de compréhension et d’expertise. Les techniques de phishing, la gestion des droits et les défis constants dans le domaine de la sécurité cloud sont également discutés en détail, offrant ainsi une ressource complète pour quiconque s’intéresse à la sécurité dans le cloud.

Notes

• Azure Cloud ATT&CK and others threat lifecycle Matrix
  • Security Stack Mappings Azure
  • Microsoft Azure Security Control Mappings to MITRE ATT&CK®
  • Azure Threat Research Matrix
  • Lina Lau (Inversecos) - Azure AD - O365 Matrix
• AWS ATT&CK Matrix
  • Security Stack Mappings AWS
  • Amazon Web Services Security Control Mappings to MITRE ATT&CK®
• GCP ATT&CK Matrix
  • Security Stack Mappings GCP
  • Google Cloud Platform Security Control Mappings to MITRE ATT&CK®

Collaborateurs

• Nicolas-Loïc Fortin
• Clément Cruchet

Crédits

• Montage par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tags: attack, aws, azure, cloud, evilginx, gcp, iam, mitre, oauth, oid, pentest, ttp