Des hackers utilisent le détournement de RID pour créer des comptes administrateurs dans Windows

Des chercheurs en cybersécurité d’AhnLab ont découvert qu’un groupe de menaces nord-coréen utilise des fichiers malveillants pour détourner des RID et accorder un accès administrateur à des comptes Windows à faibles privilèges.

Selon les chercheurs d’ASEC, le centre d’intelligence de sécurité d’AhnLab, le groupe de hackers derrière l’attaque est le groupe de menaces “Andariel”, lié au groupe de hackers Lazarus de la Corée du Nord.

“Le détournement de RID est une technique d’attaque qui consiste à modifier la valeur RID d’un compte à faibles privilèges, tel qu’un compte utilisateur ordinaire ou un compte invité, pour correspondre à la valeur RID d’un compte avec des privilèges plus élevés (Administrateur). En modifiant la valeur RID, les acteurs de la menace peuvent tromper le système pour qu’il considère le compte comme ayant des privilèges administratifs,” a écrit AhnLab dans un article de blog publié jeudi.

Dans Windows, un Identifiant Relatif (RID) fait partie d’un Identifiant de Sécurité (SID), qui distingue exclusivement chaque utilisateur et groupe au sein d’un domaine. Par exemple, un compte administrateur aura une valeur RID de “500”, “501” pour les comptes invités, “512” pour le groupe des administrateurs de domaine, et pour les utilisateurs ordinaires, le RID commencera à partir de la valeur “1000”.

Dans une attaque de détournement de RID, les hackers changent le RID d’un compte à faibles privilèges pour qu’il ait la même valeur qu’un compte administrateur. En conséquence, Windows accorde des privilèges administratifs au compte.

Cependant, pour réaliser cela, les attaquants ont besoin d’accéder au registre SAM (Security Account Manager), ce qui nécessite qu’ils aient déjà un accès de niveau SYSTEM à la machine ciblée pour modification.

Les attaquants utilisent généralement des outils tels que PsExec et JuicyPotato pour élever leurs privilèges et lancer un invite de commande de niveau SYSTEM.

Bien que l’accès SYSTEM soit le plus haut privilège dans Windows, il a certaines limitations : il ne permet pas l’accès à distance, ne peut pas interagir avec des applications GUI, génère une activité bruyante qui peut être facilement détectée et ne persiste pas après un redémarrage du système.

Pour contourner ces problèmes, Andariel a d’abord créé un compte utilisateur local caché et à faibles privilèges en ajoutant un caractère “$” à son nom d’utilisateur.

Cela a rendu le compte invisible dans les listes régulières mais toujours accessible dans le registre SAM. Les attaquants ont ensuite effectué un détournement de RID pour élever les privilèges du compte au niveau administrateur.

Selon les chercheurs, Andariel a ajouté le compte modifié aux groupes des Utilisateurs de Bureau à Distance et des Administrateurs, leur donnant plus de contrôle sur le système.

Le groupe a modifié le registre SAM en utilisant un malware personnalisé et un outil open-source pour exécuter le détournement de RID.

Bien que l’accès SYSTEM puisse permettre la création directe de comptes administrateurs, cette méthode est moins conspicue, rendant la détection et la prévention plus difficiles.

Pour éviter la détection, Andariel a également exporté et sauvegardé les paramètres de registre modifiés, supprimé le compte malveillant, puis l’a restauré plus tard à partir de la sauvegarde lorsque nécessaire, contournant les journaux système et rendant la détection encore plus difficile.

Pour réduire le risque de détournement de RID, les administrateurs système devraient mettre en œuvre des mesures proactives telles que :

• Utiliser le service de sous-système de l’Autorité de Sécurité Locale (LSA) pour surveiller les tentatives de connexion inhabituelles et les changements de mot de passe.

• Prévenir l’accès non autorisé au registre SAM.

• Restreindre l’utilisation d’outils comme PsExec et JuicyPotato.

• Désactiver les comptes invités.

• Appliquer l’authentification multi-facteurs (MFA) pour tous les comptes utilisateurs, y compris ceux à faibles privilèges.