
Un groupe de menaces nord-coréen a utilisé une technique appelée détournement RID qui incite Windows à traiter un compte à faible privilège comme un compte avec des autorisations d’administrateur.
Les pirates ont utilisé un fichier malveillant personnalisé et un outil open source pour l’attaque de détournement. Les deux utilitaires peuvent effectuer l’attaque, mais des chercheurs de la société sud-coréenne de cybersécurité AhnLab affirment qu’il existe des différences.
Comment fonctionne le détournement RID
L’Identifiant relatif (RID) dans Windows fait partie de l’Identifiant de sécurité (SID), une balise unique attribuée à chaque compte d’utilisateur pour les distinguer.
RID peut prendre des valeurs qui indiquent le niveau d’accès du compte, telles que “500” pour les administrateurs, “501” pour les comptes invités, “1000” pour les utilisateurs réguliers et “512” pour le groupe administrateurs de domaine.
Le détournement de RID se produit lorsque des attaquants modifient le RID d’un compte à faibles privilèges pour qu’il corresponde à la valeur d’un compte administrateur, et Windows lui accordera un accès élevé.
Cependant, l’exécution de l’attaque nécessite un accès au registre SAM, de sorte que les pirates doivent d’abord pénétrer dans le système et accéder au SYSTÈME.

Attaques andarielles
Les chercheurs de l’ASEC, le centre de renseignement de sécurité d’AhnLab, attribuent l’attaque au groupe de menaces Andariel, qui a été lié au groupe de pirates informatiques Lazarus de Corée du Nord.
Les attaques commencent par Andariel ayant accès au SYSTÈME sur la cible via l’exploitation d’une vulnérabilité.
Les pirates parviennent à l’escalade initiale en utilisant des outils tels que PsExec et JuicyPotato pour lancer une invite de commande au niveau du SYSTÈME.
Bien que l’accès au SYSTÈME soit le niveau le plus élevé sous Windows, il n’autorise pas l’accès à distance, ne peut pas interagir avec les applications graphiques, est très bruyant et susceptible d’être détecté, et ne peut pas persister entre les redémarrages du système.
Pour résoudre ces problèmes, Andariel a d’abord créé un utilisateur local masqué à faibles privilèges en utilisant la commande « utilisateur net » et en ajoutant le caractère » $ » à la fin.
Ce faisant, l’attaquant s’est assuré que le compte n’est pas visible via la commande « utilisateur net » et ne peut être identifié que dans le registre SAM. Ensuite, ils ont effectué le détournement de RID pour augmenter les autorisations d’administrateur.

Selon les chercheurs, Et ariel ont ajouté leur compte aux groupes d’utilisateurs et d’administrateurs du bureau à distance.
Le détournement RID requis pour cela est possible grâce aux modifications du registre du Gestionnaire de compte de sécurité (SAM). Les Nord-Coréens utilisent des logiciels malveillants personnalisés et un outil open source pour effectuer les modifications

Bien que l’accès au SYSTÈME autorise directement la création d’un compte administrateur, certaines restrictions peuvent s’appliquer en fonction des paramètres de sécurité. L’élévation des privilèges des comptes réguliers est beaucoup plus furtive et plus difficile à détecter et à arrêter.
Andariel tente en outre de couvrir ses traces en exportant les paramètres de registre modifiés, en supprimant la clé et le compte malveillant, puis en le réenregistrant à partir d’une sauvegarde enregistrée, permettant une réactivation sans apparaître dans les journaux système.
Pour atténuer les risques d’attaques de détournement RID, les administrateurs système doivent utiliser le service de sous-système de l’Autorité de sécurité locale (LSA) pour vérifier les tentatives d’ouverture de session et les modifications de mot de passe, ainsi que pour empêcher les accès non autorisés et les modifications du registre SAM.
Il est également conseillé de restreindre l’exécution de PsExec, JuicyPotato et d’outils similaires, de désactiver le compte invité et de protéger tous les comptes existants, même à faible privilège, avec une authentification multifacteur.
Il convient de noter que le détournement de RID est connu depuis au moins 2018, lorsque le chercheur en sécurité Sebastián Castro a présenté l’attaque de DerbyCon 8 comme une technique de persistance sur les systèmes Windows.