Qu'est-ce que les attaques de Mousejacking et comment se défendre contre elles

Si vous utilisez un clavier ou une souris sans fil sur votre ordinateur, méfiez-vous du risque de subir un mousejacking. En utilisant cette technique, les attaquants pourraient prendre le contrôle de votre Active Directory en seulement quelques minutes à l'aide d'un dispositif radio USB à 15 $ qui découvre les appareils vulnérables.

Dans ce podcast, Brian Johnson, président de 7 Minute Security et consultant en sécurité de l'information, explique le fonctionnement du mousejacking et comment protéger votre réseau contre celui-ci. Voici les sujets abordés :

Comment fonctionne le Mousejacking

Brian a réalisé un test d'intrusion pour prouver qu'une attaque simple peut avoir des conséquences dévastatrices. Tout ce qu'il a fallu pour pénétrer dans le réseau était un appareil bon marché et une charge utile facilement élaborée.

Lorsque vous tapez sur votre clavier sans fil ou déplacez votre souris sans fil, les informations décrivant les actions sont envoyées sans fil au dongle USB branché sur votre ordinateur. Lors d'une attaque de type mousejacking, le dispositif de l'attaquant scanne les paquets sans fil envoyés ; lorsqu'il en trouve un, il peut se faire passer pour la souris ou le clavier et envoyer ses propres signaux au dongle. Vous pourriez remarquer que quelque chose d'étrange se produit, comme des frappes supplémentaires qui sont saisies ou votre souris qui se déplace de manière inattendue, mais il pourrait être déjà trop tard ; même quelques frappes ou clics de souris pourraient suffire à exécuter une attaque, telle que l'installation de logiciels malveillants ou la copie de fichiers à partir de votre ordinateur.

L'attaquant n'a même pas besoin d'être physiquement proche pour prendre le contrôle d'un ordinateur — l'attaque peut être exécutée jusqu'à 100 mètres de distance. Cependant, seules les stations de travail en fonctionnement peuvent être compromises.

Active Directory en danger

Alors, quels dommages une attaque par mousejacking pourrait-elle causer ? D'une part, l'attaquant peut intercepter vos frappes de touches lorsqu'elles sont transmises à un dongle USB, un peu comme le ferait un programme enregistreur de frappe. En conséquence, l'attaquant pourrait être en mesure de recueillir des données sensibles telles que vos noms d'utilisateur, mots de passe et réponses aux questions de sécurité, ainsi que des informations personnelles comme vos numéros de carte de crédit. D'autre part, l'attaquant peut envoyer des frappes à votre ordinateur comme si vous les aviez saisies. En utilisant l'injection de frappes, les attaquants peuvent installer des rootkits ou des logiciels malveillants qui leur permettent de s'implanter dans votre réseau.

Le pire des scénarios est une attaque de mousejacking sur un compte administratif — cela pourrait compromettre votre réseau via Active Directory. Si vous êtes connecté sous un compte Domain Admin, par exemple, un pirate de souris pourrait utiliser l'injection de frappes pour créer de nouveaux utilisateurs et les ajouter au groupe Domain Admins dans l'Active Directory de votre entreprise, obtenant ainsi un contrôle et un accès pratiquement illimités à votre réseau.

En fait, les risques sont si importants que lorsque Brian a présenté les résultats des tests d'intrusion à ses clients, ils ont décidé de changer leur politique concernant l'utilisation des appareils sans fil.

Méthodes de défense

De nombreux claviers et souris populaires sont à risque, donc la première chose à faire est de vérifier si vous possédez des appareils vulnérables. Ici vous pouvez consulter la liste des appareils connus pour être susceptibles aux attaques de mousejacking. Cette vulnérabilité ne peut être corrigée que du côté du fabricant, donc tout ce que vous pouvez faire est de remplacer chaque appareil vulnérable par un sécurisé.

Pendant ce temps, assurez-vous de suivre la meilleure pratique consistant à verrouiller votre ordinateur lorsque vous le quittez, même pour quelques minutes. Vous souvenez-vous de la rapidité avec laquelle une attaque par détournement de souris peut être exécutée ? Si vous laissez votre ordinateur déverrouillé pendant que vous vous éloignez pour prendre un café, un pirate dispose de plusieurs minutes pour exploiter la vulnérabilité et compromettre votre réseau sans être remarqué.

La prochaine chose que vous devriez faire est de vous demander si vous sauriez même que vous avez été attaqué. Combien de temps cela vous prendrait-il pour détecter l'attaque ? Pourriez-vous réagir assez rapidement pour minimiser les dégâts ?

Une stratégie essentielle pour se défendre contre le mousejacking — et d'autres attaques également — consiste à suivre les modifications de votre Active Directory, en particulier l'ajout de membres aux groupes hautement privilégiés tels que les Domain Admins. Recevoir des alertes sur les modifications critiques vous permet de rétablir rapidement les changements inappropriés, bloquant ainsi les attaques dans leurs premières étapes et limitant leur impact.

Pour plus d'informations

Pour en savoir plus sur le fonctionnement de l'attaque par mousejacking et comment se défendre contre celle-ci, écoutez l'épisode du podcast : https://7ms.us/7ms-355-mousejacking/