Lorsque l'identité d'un utilisateur est compromise, que peut faire un pirate ? La réponse est à peu près n'importe quoi. Avec l'accès à un environnement d'entreprise, un attaquant peut voler des données à partir d'applications SaaS, y compris des magasins de données Microsoft 365 de grande valeur comme SharePoint, Teams et Exchange, ainsi que des applications comme Salesforce et ADP, et mener des campagnes contre des fournisseurs de services cloud fédérés et des environnements de réseaux hybrides.
Les défenseurs doivent répondre aux attaques axées sur l'identité contre Azure AD et M365 et les arrêter avant qu'elles ne causent des dommages. Les mécanismes de prévention tels que la formation des employés, le MFA et une politique d'accès conditionnel bien conçue sont utiles, mais les attaquants trouvent toujours le moyen d'entrer. Mais d'abord, il est essentiel de comprendre ce que fait un attaquant, une fois qu'il est dans votre environnement, pour l'arrêter lorsque les mesures préventives sont contournées. Que faire alors ?
Les équipes de sécurité ont besoin des bons outils pour tester les contrôles de sécurité sur cloud en imitant le comportement réel d'un attaquant afin de comprendre les lacunes et de s'assurer qu'elles ont la visibilité nécessaire pour arrêter un attaquant. D'après mon expérience, c'est ce qui détermine la résilience. Assurer une configuration résiliente de cloud avec les bons mécanismes de détection pour détecter et répondre à temps peut aider à atténuer et à prévenir les dommages d'une violation. Maintenant, lorsque vous pensez aux adversaires qui exploitent les failles de sécurité, à la résilience douteuse et à la visibilité qui vous fait peut-être défaut, il est temps de se mettre en colère et de faire du MAAD-AF!
Qu'est-ce que MAAD AF aka M365 & Azure AD Attack Framework ?
MAAD-AF (acronyme de Microsoft 365 & Azure AD Attack Framework) est un cadre d'attaque open-source cloud développé pour tester la sécurité des environnements Microsoft 365 et Azure AD par l'émulation d'adversaires. MAAD-AF est conçu pour rendre les tests de sécurité cloud simples, rapides et efficaces pour les praticiens de la sécurité en fournissant un outil de test intuitif et en se concentrant sur les domaines les plus critiques.
MAAD-AF propose divers modules d'attaque faciles à utiliser pour exploiter les failles de configuration dans différents outils et services basés sur M365/Azure AD cloud- avec la possibilité d'intégrer et d'ajouter facilement de nouveaux modules au fil du temps. Grâce à l'absence quasi totale de configuration et aux modules d'attaque interactifs, les équipes de sécurité peuvent tester facilement et rapidement leurs contrôles de sécurité, leurs capacités de détection et leurs mécanismes de réponse sur le site cloud . Il s'agit d'un élément à prendre en compte lorsqu'on envisage un nouvel outil pour combler les lacunes en matière de sécurité.
Avec MAAD-AF, les équipes de sécurité peuvent facilement émuler les tactiques et techniques d'un attaquant réel pour progresser dans un environnement M365 et Azure AD compromis. Cela permet d'identifier les lacunes dans les configurations existantes et les capacités de détection et de réponse afin de renforcer la sécurité de l'environnement cloud . Essayez-le vous-même !
Ce qui fait la qualité de MAAD-AF
MAAD-AFest un outil d'exploitation post-compromis et pré-compromis
Ses modules interactifs permettent aux utilisateurs d'exploiter les failles de configuration de Microsoft 365 et Azure AD à partir d'une interface unique et simple d'utilisation.
Les modules post-compromis de la MAAD-AF utilisent des techniques d'autosuffisance
MAAD-AF utilise la fonctionnalité inhérente des services Microsoft cloud pour exécuter des actions dans l'environnement cible.
MAAD-AF prend en charge les actions préalables à la compromission, telles que la reconnaissance initiale et la force brute des informations d'identification.
Pour ceux qui s'intéressent à d'autres techniques de compromission, nous recommandons vivement AADInternals et PowerZure- deux outils qui ont contribué à inspirer le développement du cadre d'attaque MAAD.
Les techniques incluses dans MAAD-AF sont basées sur les comportements actifs que les acteurs de la menace exécutent lors d'attaques contre les environnements Azure AD et M365. MAAD-AF rend les tests de sécurité simples et efficaces en concentrant les modules sur les techniques couramment utilisées et l'exploitation des services clés et fréquemment ciblés de Microsoft cloud .
MAAD-AF ne nécessite pratiquement aucune installation.
Les utilisateurs peuvent télécharger l'outil depuis le repo github de MAAD-AF et commencer à le tester. Toutes les dépendances nécessaires peuvent être gérées directement par MAAD-AF. En outre, nous avons créé une analyse gratuite des lacunes en matière d'exposition à l'identité pour aider les équipes à comprendre leur risque actuel.
Essayez vous-même
MAAD est un logiciel libre, et tout le monde est invité à l'utiliser et à contribuer à son développement. Nous invitons tout le monde à se joindre à la mission de MAAD et à y contribuer de toutes les manières possibles. Envoyez vos bonnes idées, vos demandes de fonctionnalités, signalez les bugs/problèmes ou contribuez directement en écrivant de nouveaux modules d'attaque pour la bibliothèque MAAD.
Pour en savoir plus sur la façon dont le cadre MAAD-AF peut tester la sécurité des environnements cloud , regardez le webinaire à la demande sur les attaques basées sur l'identité.
Vous pouvez également lire le sur les modules d'attaque MAAD-AF et les composants de base, l'installation et la configuration.
Pour que les tests de sécurité soient simples, rapides et efficaces !
Obtenez MAAD-AF à partir du dépôt Github de MAAD-AF.