Notes de version Tenable Identity Exposure 2024
Ces notes de version sont répertoriées dans l'ordre chronologique inverse.
Tenable Identity Exposure 3.67 (2024-03-21)
-
Les ordinateurs ne peuvent pas apparaître comme déviants à cause du motif « Non protégé contre la délégation ». Tenable Identity Exposure traite et résout toutes les déviances existantes liées à ce problème.
-
Amélioration des indicateurs d'exposition (IoE) — Dans l'IoE Configuration Kerberos appliquée aux comptes utilisateur, les utilisateurs possédant une carte à puce (smartcard) sont immunisés contre l'attaque AS-REP Roasting et Tenable Identity Exposure ne les signale plus comme problème de sécurité.
-
Améliorations des indicateurs d'attaque (IoA) :
-
Attaque de mot de passe par force brute — Une nouvelle option « Intervalle de temps pour la détection » spécifie, en minutes, la durée au cours de laquelle chaque tentative de connexion infructueuse est considérée comme une attaque potentielle en cours.
-
Énumération des administrateurs locaux
-
Une nouvelle option, « Droits d'accès filtrés en mode agressif », prend uniquement en compte les droits d'accès spécifiés récupérés à partir de l'événement « Un objet de partage réseau a été vérifié » pour qualifier une attaque potentielle en cours. Cette liste s'applique uniquement en mode agressif.
-
La valeur par défaut de l'option « Heuristique pour les Contrôleurs de Domaine utilisant une version antérieure à Windows Server 2016 » est désormais « Faux ».
-
-
DCSync : la valeur par défaut de l'option « Autoriser une source inconnue » est désormais « Faux ».
-
Extraction NTDS — Nouvelle « liste de refus » en « mode standard » : diskshadow, ntdsutil, esentutl, esentutldefrag mode, vssown, copy-vss, wmi-based technique, psexec_ntds_grab, wmiprvse, vssadmin, vss, impacket-secretsdump, vss_requestor, VeeamGuestHelper, WMI-based technique.
-
Récupération des identifiants du système d'exploitation : mémoire LSASS — Nouvelle « liste de refus » en « mode standard » : mimikatz, taskmgr, ipconfig, arp, powershell, net, auditpol, whoami, cmd, route, processhacker, net1, csc, procdump, osqueryi.
-
La version 3.67 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Tenable Identity Exposure met désormais correctement à jour les profils de sécurité lorsque vous modifiez les options suivantes pour les configurations IoA suivantes :
|
Si vous disposez d'une licence Tenable One, la création de l'utilisateur a lieu dans Tenable Vulnerability Management et est propagée à Tenable Identity Exposure. Dans ce cas, lorsque vous cliquez sur le bouton « Créer un utilisateur » dans Tenable Identity Exposure, un message apparaît pour vous diriger vers Tenable Vulnerability Management afin de créer des utilisateurs. |
Tenable Identity Exposure affiche désormais tous les IoE Entra ID sur le volet IoE. |
Le fichier journal MSI est désormais disponible dans C:\Tenable\Logs après l'installation ou une mise à niveau. |
Tenable Identity Exposure 3.66 (2024-03-11)
Indicateur d'attaque (IoA) — Nouvelles options pour les IoA suivants afin de limiter les faux positifs. Pour plus d'informations, voir le Indicators of Attack Reference Guide (Guide de référence des IoA).
Remarque : à partir de cette version, pour tous les IoA de chaque profil de sécurité, l'option « Mode agressif » est définie sur « Faux » par défaut. Vous pouvez définir cette option sur « Vrai » pour chaque IoA dans les profils de sécurité individuels.
-
Changement de mot de passe suspect sur un DC — Nouvelles options :
-
« Mode agressif » :
-
Vrai : détecte l'attaque, que l'utilisateur soit authentifié ou non.
- Faux (par défaut) : détecte uniquement les utilisateurs authentifiés.
« Fréquence de modification du mot de passe » : en « mode agressif », cette option précise l'intervalle entre deux changements de mot de passe (30 jours par défaut).
-
DCSync — Nouvelle option :
« Mode agressif » :
Vrai : déclenche toutes les attaques en fonction des règles d'IoA qui peuvent générer de nombreux faux positifs.
Faux (par défaut) : ne déclenche une attaque que si la machine ne se trouve pas dans le domaine. Cela détecte moins d'attaques mais évite les faux positifs.
Améliorations
-
Optimisation de la durée de calcul pour les indicateurs d'exposition en fonction du jeu de stratégies résultant (RSoP), ce qui a pour effet de ralentir le calcul des déviances liées au RSoP. Pour plus d'informations, voir Indicateurs d'exposition basés sur un RSoP dans le Guide de l'utilisateur Tenable Identity Exposure.
-
Ajout de la prise en charge de la limitation de la visibilité des données pour les tenants Entra ID dans la gestion des autorisations des rôles.
La version 3.66 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
IoA Récupération des identifiants système : mémoire LSASS — Tenable Identity Exposure prend désormais en compte la liste d'autorisations spécifiée pour l'option « Mode agressif ». |
Tenable Identity Exposure a mis en œuvre un nouveau mécanisme pour améliorer la résilience de la base de données lors de la gestion de nombreuses modifications apportées à l'attribut badPwdCount à l'aide de mesures de régulation pour limiter les changements. |
Tenable Identity Exposure a mis à jour les conventions de nommage pour la langue chinoise. |
Tenable Identity Exposure 3.65 (2024-02-27)
Indicateurs d'attaque (IoA) — Nouvelles valeurs par défaut pour les IoA suivants afin de limiter les faux positifs. Pour plus d'informations, voir le Indicators of Attack Reference Guide (Guide de référence des IoA).
Golden Ticket — Nouvelle option « Mode agressif » :
Faux (standard, par défaut) : déclenche une attaque uniquement si l'utilisateur cible est un contrôleur de domaine ou un utilisateur appartenant au groupe Admins de domaine.
Vrai : autorise les attaques même si le nom d'utilisateur cible n'est pas membre du groupe Admins de domaine ou un contrôleur de domaine. Autorise également les attaques même si certains contrôleurs de domaine ne sont pas surveillés (en d'autres termes, ils ne génèrent aucune entrée dans le journal d'événements Windows).
Usurpation de sAMAccountName — Nouvelle option « Mode agressif » :
Faux (standard, par défaut) : ne déclenche pas d'attaque si le TargetUserName n'est pas un contrôleur de domaine (DC).
Vrai : déclenche toutes les attaques en fonction des règles d'IoA qui peuvent générer de nombreux faux positifs.
Récupération des identifiants système : mémoire LSASS — Nouvelles options :
« Mode agressif » :
Faux (standard, par défaut) : l'IoA reconnaît l'outil et ne considère que les processus prédéfinis comme non légitimes.
Vrai : l'IoA considère tous les outils d'attaque comme non légitimes, à moins qu'ils ne figurent dans la liste d'autorisations.
« Processus autorisés en mode agressif » : facultatif et s'applique uniquement si l'option « Mode agressif » = Vrai.
« Mode standard - Liste de refus » : en mode standard, seuls les outils spécifiés peuvent déclencher des attaques.
Extraction NTDS — Nouvelles options :
« Mode agressif » :
Faux (standard, par défaut) : l'IoA reconnaît l'outil et ne considère que les processus prédéfinis comme non légitimes.
Vrai : l'IoA considère tous les outils d'attaque comme non légitimes, à moins qu'ils ne figurent dans la liste d'autorisations.
« Mode standard - Liste de refus » : en mode standard, seuls les outils spécifiés peuvent déclencher des attaques.
« Processus d'attaque en mode standard sur liste blanche » (anciennement « Processus sur liste blanche ») : facultatif et s'applique uniquement si l'option « Mode agressif » = Vrai.
Reconnaissance massive de machines — Nouvelles valeurs par défaut pour les options :
Nombre d'ordinateurs — 5 000
Nombre minimum d'ordinateurs — 100
Pourcentage d'ordinateurs — 95
Fenêtre glissante — 240
Temps d'attente entre les attaques — 240
Attaque de mot de passe par force brute — Nouvelle valeur par défaut pour l'option :
Nombre de comptes soumis à des tentatives de connexion infructueuses — 10 000
Énumération des administrateurs locaux — L'option « Heuristique pour les Contrôleurs de domaine utilisant une version antérieure à Windows Server 2016 » est désormais définie sur « Faux » par défaut.
Indicateurs d'exposition (IoE)
Nouveaux IoE
- Configuration de silo d'authentification privilégié — Fournit un guide étape par étape sur la configuration d'un silo d'authentification pour les comptes privilégiés (Tier-0).
Comptes utilisateurs AD privilégiés synchronisés avec Microsoft Entra ID — Vérifie que les comptes utilisateurs privilégiés Active Directory ne sont pas synchronisés avec Microsoft Entra ID.
Améliorations
IoE Délégation Kerberos dangereuse — Ajoute une nouvelle raison de détecter la configuration actuelle de la délégation Kerberos sur un compte Microsoft Entra Connect (AZUREADSSOACC).
IoE Mots de passe utilisant un algorithme de chiffrement réversible — Recherche les mots de passe configurés pour être stockés dans un format réversible, d'après les paramètres définis par l'attribut msDS-PasswordReversibleEncryptionEnabled dans l'Objet de paramètres de mot de passe (PSO).
IoE Gestion des comptes d'administration locaux — Ajoute la prise en charge de la nouvelle version de la Solution de mot de passe d'administrateur local (LAPS) de Microsoft à l'aide d'une nouvelle option intitulée « Version LAPS installée », et vérifie la configuration de LAPS en fonction des sélections de l'utilisateur.
La version 3.65 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Tenable Identity Exposure a résolu un problème lié à la suppression du tenant Microsoft Entra ID. Auparavant, lorsque l'on cliquait sur l'icône de la corbeille de suppression, certains assets précédemment acquis pouvaient persister. La résolution garantit désormais la suppression complète de tous les assets pendant ce processus. |
Tenable Identity Exposure a résolu une vulnérabilité par injection grâce à laquelle un utilisateur local à faibles privilèges pouvait modifier les fichiers d'application sur l'hôte Secure Relay Tenable Identity Exposure. |
Tenable Identity Exposure a résolu un problème entraînant l'échec de requêtes en raison d'une valeur nulle, et provenant probablement d'une incohérence entre des données de la base de données. Par exemple, le problème pouvait se manifester quand un droit d'accès compact était destiné à un asset qui n'avait pas encore atteint la Software Factory (SF) nécessaire. |
Tenable Identity Exposure a amélioré la fonctionnalité des chemins d'attaque pour prévenir les pannes potentielles au cours du processus d'initialisation dans certains scénarios rares. |
Tenable Identity Exposure a implémenté un nouveau mécanisme pour garantir que la base de données puisse traiter plusieurs modifications apportées à l'attribut badPwdCount sans que cela nuise à son intégrité et à ses performances. |
Tenable Identity Exposure 3.64 (2024-02-07)
La version 3.64 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
L'indicateur d'attaque Changement de mot de passe suspect sur un DC a résolu les faux positifs liés aux systèmes Windows Server 2008 R2 qui changent leurs mots de passe tous les 30 jours par défaut. |
Tenable Identity Exposure 3.63 (2024-01-24)
-
Indicateurs d'attaque — L'option « Processus autorisés » dans les indicateurs d'attaque Récupération des identifiants du système d'exploitation : mémoire LSASS et Extraction NTDS inclut des processus connus pour générer des faux positifs.
La version 3.63 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Tenable Identity Exposure n'affiche plus les domaines de topologie après la suppression de leur domaine associé. |
Le statut de scan actuel de Microsoft Entra ID indique désormais l'erreur d'un échec de scan, même si les scans précédents ont réussi. |
Tenable Identity Exposure actualise désormais correctement les certificats CA après une mise à jour de la configuration d'une alerte Syslog. |
Les données techniques internes de Tenable Identity Exposure ne sont plus transmises en tant qu'assets à Tenable Cloud lorsque cette fonctionnalité est active. |
Les déviances liées à la réutilisation de mots de passe à partir de l'indicateur d'exposition Faiblesses détectées lors de l'analyse des mots de passe exposent désormais les préfixes de hachage de mot de passe incriminants. |
Lors de l'analyse d'un événement 4776 sans nom d'hôte produisant une source « Inconnue », Tenable Identity Exposure filtre désormais cette déviance selon l'option « Autoriser une source inconnue » dans l'indicateur d'attaque Pulvérisation de mot de passe. |
Tenable Identity Exposure 3.62 (2024-01-10)
La version 3.62 de Tenable Identity Exposure contient les correctifs suivants :
Correctif |
---|
Tenable Identity Exposure calcule désormais les fichiers SYSVOL lors de la création d'un attribut dont le nom dépasse 500 caractères. |
Le Secure Relay reflète désormais les modifications apportées aux configurations SYSLOG pour réactiver le flux de messages SYSLOG vers le SIEM. |
L'indicateur d'exposition (IoE) Durcissement insuffisant contre les ransomwares gère désormais correctement les exclusions de listes d'autorisation. |
Tenable Identity Exposure a résolu un problème qui affectait la qualification précise des groupes privilégiés dans les IoE suivants : Attribut adminCount appliqué à des utilisateurs non administrateurs, Présence de comptes désactivés dans les groupes privilégiés, Comptes privilégiés exécutant des services Kerberos et Certificats associés aux comptes. |
Les statuts de scan Microsoft EntraID sont désormais plus précis et fournissent des indications plus claires lorsqu'un problème survient. |