Notes de version Tenable Identity Exposure 2025

La version 3.91.1 de Tenable Identity Exposure contient le correctif suivant :

• Groupe non essentiel — Ce nouvel indicateur d'exposition (IoE) signale les groupes vides et ceux qui ne comptent qu'un seul membre.

  Remarque : l'IoE Groupe non essentiel a été initialement lancé sous la forme de deux IoE distincts (Groupe AD vide et Groupe AD à membre unique) parallèlement au Centre d'exposition le 5 février 2025. Ces deux IoE ont ensuite été déplacés vers la vue Indicateur d'exposition, dans un souci de cohérence avec les autres IoE liés à AD. Le nouvel IoE Groupe non essentiel fusionne ces précédents IoE en une seule entité.

• Suppression du suffixe /Default des noms Instance d'exposition, car Tenable Identity Exposure considère que toutes les faiblesses proviennent d'une seule instance.

• Les pages Identités 360 et Vue d'ensemble de la cyber-exposition redirigent désormais vers la page Instances d'exposition lors de l'exploration des faiblesses associées.

La version 3.91 de Tenable Identity Exposure contient les correctifs suivants :

• Serveurs Exchange non pris en charge ou obsolètes — Ce nouvel indicateur d'exposition (IoE) détecte les serveurs Exchange obsolètes que Microsoft ne prend plus en charge, ainsi que ceux qui n'ont pas reçu les dernières mises à jour cumulées. Pour maintenir un environnement Exchange sûr et entièrement pris en charge, occupez-vous rapidement des serveurs obsolètes ou non corrigés. À défaut, vous risquez d'augmenter le risque d'exploitation, exposant ainsi votre organisation à des violations des données et à des attaques par ransomware.

• L'IoE Paramétrages dangereux sur des serveurs ADCS signale désormais la vulnérabilité ESC9, en désignant les modèles de certificat ayant le certificat non sécurisé CT_FLAG_NO_SECURITY_EXTENSION comme déviants.

• Les pages Vue d'ensemble de la cyber-exposition et Instances d'exposition affichent désormais les noms des tenants des fournisseurs de données d'identité (domaine AD, tenant (ou locataire) Entra ID, etc.) où l'IoE a identifié des détections de sécurité.

La version 3.90 de Tenable Identity Exposure contient les correctifs suivants :

• Identités 360

  • Amélioration des temps de chargement de diverses pages d'« Identités 360 », en particulier lors de la visualisation des onglets « Accès » et « Droit d'accès » d'un asset.

  • Tenable Identity Exposure rassemble désormais les droits d'accès Active Directory plus rapidement. Les données sont ainsi disponibles plus tôt après la configuration du produit sur la page « Identités 360 », sous l'onglet Droit d'accès des détails de l'asset. Tenable Identity Exposure se concentre uniquement sur les droits d'accès qui ont un impact sur le contexte de sécurité de nos clients.

• Indicateurs d'exposition (IoE)

  • Certificats associés aux comptes — Cet IoE signalait précédemment les utilisateurs avec privilèges avec seulement deux types de mappages : X509IssuerSubject et X509SubjectOnly. Sa portée d'origine a été élargie pour inclure des mappages supplémentaires — X509RFC822, X509IssuerSerialNumber, X509SKI et X509SHA1PublicKey.

  • Certificats associés aux comptes — Tenable Identity Exposure a amélioré cet IoE pour signaler les mappages de certificats explicites faibles et ainsi lutter contre la technique d'abus AD CS ESC14.

  • Groupe AD/Entra à membre unique — L'IoE affiche désormais le membre du groupe dans la description « Pourquoi c'est important ».

  • Principal de service propriétaire (ou interne) avec identifiants — L'IoE affiche désormais les détails des informations d'identification identifiées dans la description « Pourquoi c'est important ».

  • Groupe AD/Entra à membre unique et Groupe vide — Ces IoE ne comptabilisent désormais que les membres directs pour des résultats plus précis et significatifs.

  • Personnalisation du profil de sécurité — La description des options « Propriétaire autorisé d'un objet (par appartenance à un groupe) » a été améliorée pour les IoE concernés.

• Vérifications de l'état du système

  • Autorisations de collecter les données du domaine — Les détails « Autorisations accordées pour collecter les données privilégiées » sont désormais masqués lorsque l'analyse privilégiée est désactivée dans l'interface utilisateur. Assurez-vous que votre Relay est à jour pour pouvoir utiliser cette fonctionnalité.

  • Accessibilité du domaine — Le motif de l'inaccessibilité du domaine est désormais mieux précisé.

La version 3.89 de Tenable Identity Exposure contient les correctifs suivants :

• L'indicateur d'exposition (AD) « Paramétrages dangereux sur Exchange » répertorie les mauvaises configurations qui impactent les ressources Exchange ou les objets sous-jacents du schéma Active Directory.

La version 3.88 de Tenable Identity Exposure contient les correctifs suivants :

• Centre d'exposition — Suppression des références au classement VPR (Vulnerability Priority Rating) de la Vue d'ensemble de la cyber-exposition, car Tenable Identity Exposure ne renseigne pas ces scores pour les indicateurs d'exposition liés aux identités.

La version 3.87 de Tenable Identity Exposure contient les correctifs suivants :

• Centre d'exposition — Le Centre d'exposition est une fonctionnalité de Tenable Identity Exposure qui améliore la posture de sécurité des identités de votre organisation. Il identifie les faiblesses et les mauvaises configurations sur votre surface de risques liés aux identités, et couvre aussi bien les systèmes d'identité sous-jacents, tels qu'Entra ID, que les identités au sein de ces systèmes.

  L'expérience utilisateur de cette fonctionnalité s'articule autour de trois concepts interdépendants : la vue d'ensemble de la cyber-exposition, les instances d'exposition et les détections. Tenable Research prend en charge ces concepts avec un nouveau moteur de sécurité et des indicateurs d'exposition (IoE) conçus spécialement pour optimiser leurs fonctionnalités.

  Pour plus d'informations, voir Centre de l'exposition dans le Guide de l'utilisateur Tenable Identity Exposure.

• Nouveaux indicateurs d'exposition Entra ID

  Nom	Description
  Capacité des comptes standards à enregistrer des applications	Par défaut, n'importe quel utilisateur d'Entra peut enregistrer des applications au sein du tenant. Bien que cette fonctionnalité soit pratique et ne constitue pas une vulnérabilité de sécurité immédiate, elle présente certains risques. Par conséquent, conformément aux bonnes pratiques, Tenable recommande de désactiver cette fonctionnalité.
  Applications permettant l'authentification multi-tenant	Les applications Entra, qui permettent l'authentification multi-tenant, peuvent fournir un accès non autorisé à des utilisateurs malveillants si cette configuration n'a pas été activée en toute connaissance de cause et sans mettre en œuvre des contrôles d'autorisation adéquats dans le code de l'application.
  Une stratégie d'accès conditionnel désactive l'évaluation continue des accès	L'évaluation continue des accès est une fonctionnalité de sécurité Entra ID qui permet de réagir rapidement aux modifications de stratégie de sécurité ou aux mises à jour de statut des utilisateurs. Il est donc important de ne pas la désactiver.
  Autorisations d'application dangereuses affectant le tenant	Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer elles-mêmes des actions sur les services Microsoft (appelées « autorisations d'application »). Certaines autorisations peuvent constituer une grave menace pour l'ensemble du tenant Microsoft Entra.
  Autorisations déléguées dangereuses affectant le tenant	Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer elles-mêmes des actions sur les services Microsoft (appelées « autorisations d'application »). Certaines autorisations peuvent constituer une grave menace pour l'ensemble du tenant Microsoft Entra.
  Comptes désactivés assignés à un rôle privilégié	Il est crucial de surveiller les attributions à des rôles privilégiés pour assurer une gestion saine des comptes.
  Appareils dormants	Les appareils dormants posent des risques de sécurité tels que des configurations obsolètes et des vulnérabilités non corrigées. En l'absence de surveillance et de mises à jour régulières, ces appareils obsolètes deviennent des cibles potentielles d'exploitation, compromettant ainsi l'intégrité des tenants et la confidentialité des données.
  Utilisateurs dormants sans privilèges	Les utilisateurs dormants sans privilèges posent des risques de sécurité, car des attaquants peuvent les exploiter pour obtenir des accès non autorisés. En l'absence de surveillance et de désactivation régulières, ces utilisateurs obsolètes créent des points d'entrée potentiels pour des activités malveillantes en étendant la surface d'attaque.
  Utilisateurs dormants avec privilèges	Les utilisateurs dormants avec privilèges posent des risques de sécurité, car des attaquants peuvent les exploiter pour obtenir des accès non autorisés. En l'absence de surveillance et de désactivation régulières, ces utilisateurs obsolètes créent des points d'entrée potentiels pour des activités malveillantes en étendant la surface d'attaque.
  Groupes dynamiques dotés d'une règle exploitable	Les attaquants peuvent exploiter les groupes dynamiques dans Microsoft Entra ID en manipulant des attributs d'auto-modification, leur permettant ainsi de s'ajouter en tant que membres d'un groupe. Cette manipulation permet une élévation de privilèges et un accès non autorisé à des ressources sensibles liées aux groupes.
  Groupes Entra vides	Les groupes vides peuvent créer de la confusion, compromettre la sécurité et nuire à l'utilisation optimale des ressources. Il est généralement recommandé d'établir un but clair pour les groupes et de s'assurer qu'ils contiennent les membres concernés.
  Paramètres de sécurité Entra par défaut non activés	Les paramètres de sécurité par défaut Entra ID sont des paramètres préconfigurés et recommandés par Microsoft pour améliorer la protection des tenants.
  Liste de domaines fédérés	La configuration malveillante de domaines fédérés constitue une menace courante, utilisée par les attaquants comme porte dérobée d'authentification vers le tenant Entra ID. La vérification des domaines fédérés existants et nouvellement ajoutés est essentielle pour garantir la fiabilité et la légitimité de leurs configurations. Cet indicateur d'exposition fournit une liste complète des domaines fédérés et de leurs attributs pertinents, afin de vous aider à prendre des décisions éclairées concernant leur statut de sécurité.
  Non-concordance des certificats de signature de fédération	Microsoft Entra ID permet de déléguer l'authentification à un autre fournisseur via la fédération. Toutefois, les attaquants disposant de privilèges élevés peuvent exploiter cette fonction en ajoutant un certificat de signature de jeton malveillant, ce qui permet la persistance et l'élévation des privilèges.
  Principal de service propriétaire (ou interne) avec identifiants	Les principaux de service propriétaires (ou internes) disposent de puissantes autorisations, mais sont souvent négligés en raison de leur volume élevé, d'un manque de visibilité et du fait qu'ils sont détenus par Microsoft. Les attaquants peuvent profiter de cette situation en ajoutant des identifiants à ces principaux, ce qui leur permet d'exploiter discrètement leurs autorisations à des fins d'élévation de privilèges et de persistance.
  Comptes invités disposant d'un rôle avec privilèges	Les comptes invités sont des identités externes qui peuvent poser un risque de sécurité lorsque des rôles privilégiés leur sont assignés. Cela accorde des privilèges substantiels au sein du tenant à des personnes externes à votre organisation.
  Comptes invités disposant d'un accès identique aux comptes normaux	Il est déconseillé de configurer Entra ID pour considérer les invités comme des utilisateurs standards, car cela pourrait permettre à des invités malveillants d'effectuer une reconnaissance complète des ressources du tenant.
  Nombre d'administrateurs élevé	Un nombre d'administrateurs important augmente la surface d'attaque et présente des risques de sécurité en raison de leurs privilèges élevés. Cela traduit également un non-respect du principe du moindre privilège.
  Porte dérobée de domaine fédéré connue	Microsoft Entra ID permet de déléguer l'authentification à un autre fournisseur via la fédération. Toutefois, les attaquants disposant de privilèges élevés peuvent exploiter cette fonction en ajoutant leur propre domaine fédéré malveillant, ce qui permet la persistance et l'élévation des privilèges.
  Authentification héritée non bloquée	Les méthodes d'authentification héritées ne prennent pas en charge l'authentification multifacteur (MFA), ce qui permet aux attaquants de continuer à effectuer des attaques par force brute, par envoi massif d'identifiants et par pulvérisation de mot de passe.
  Authentification multifacteur manquante pour comptes sans privilèges	L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier.
  Authentification multifacteur manquante pour comptes avec privilèges	L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier.
  Authentification multifacteur non requise pour rôle avec privilèges	L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, en particulier pour les comptes avec privilèges disposant de rôles privilégiés.
  Authentification multifacteur non requise pour connexions à risque	L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'exiger une authentification MFA pour les connexions risquées, par exemple lorsque la demande d'authentification pourrait ne pas provenir du propriétaire légitime de l'identité.
  Appareils jamais utilisés	Évitez les comptes d'appareils précréés et jamais utilisés, car ils indiquent une mauvaise hygiène de sécurité et peuvent potentiellement poser des risques.
  Utilisateurs sans privilèges jamais utilisés	Les comptes utilisateur non privilégiés qui n'ont jamais été utilisés peuvent être compromis, car ils échappent généralement à la détection effectuée par les mesures défensives. De plus, leurs mots de passe par défaut en font des cibles de choix pour les attaquants.
  Utilisateurs avec privilèges jamais utilisés	Les comptes utilisateur avec privilèges qui n'ont jamais été utilisés peuvent être compromis, car ils échappent généralement à la détection effectuée par les mesures défensives. De plus, leurs mots de passe par défaut en font des cibles de choix pour les attaquants.
  Protection par mot de passe non activée pour les environnements sur site	La protection des mots de passe de Microsoft Entra est une fonctionnalité de sécurité qui empêche les utilisateurs de définir des mots de passe faciles à deviner, afin de renforcer la sécurité globale des mots de passe dans une organisation.
  Stratégie de nommage des comptes avec privilèges	Il est essentiel d'adopter une stratégie de nommage pour les utilisateurs avec privilèges dans Entra ID à des fins de sécurité, de normalisation et de conformité aux audits. En outre, elle facilite l'administration.
  Comptes Entra privilégiés synchronisés avec Active Directory (hybride)	Les comptes hybrides (synchronisés à partir d'Active Directory) qui ont des rôles avec privilèges dans Entra ID présentent un risque pour la sécurité, car ils permettent aux attaquants qui compromettent AD de pivoter vers Entra ID. Dans Entra ID, les comptes privilégiés doivent être des comptes « cloud seulement ».
  Comptes Entra privilégiés avec accès aux services Microsoft 365	Vous devez disposer de comptes Entra distincts pour les tâches d'administration : un compte standard pour un usage quotidien et un compte privilégié dédié pour les activités administratives. Cette approche réduit la surface d'attaque du compte privilégié, améliorant ainsi la sécurité.
  Groupes Microsoft 365 publics	Les groupes Microsoft 365 stockés dans Entra ID sont publics ou privés. Les groupes publics posent un risque de sécurité, car n'importe quel utilisateur du tenant peut les rejoindre et accéder à leurs données (chats/fichiers des équipes, e-mails, etc.).
  Afficher du contexte supplémentaire dans les notifications de Microsoft Authenticator	Pour une meilleure visibilité, activez les notifications de Microsoft Authenticator afin d'afficher du contexte supplémentaire, comme le nom de l'application et la géolocalisation. Cela aide les utilisateurs à identifier et à refuser les demandes d'authentification MFA ou sans mot de passe potentiellement malveillantes, atténuant ainsi le risque d'attaques par demande d'authentification répétée.
  Groupe Entra à membre unique	Il est déconseillé de créer un groupe avec un seul membre, car cela introduit de la redondance et de la complexité. Cette pratique complique inutilement la gestion en ajoutant des couches et diminue l'efficacité prévue des groupes pour la rationalisation du contrôle et de la gestion des accès.
  Attribution suspecte du rôle « Comptes de synchronisation d'annuaires »	Les « Comptes de synchronisation d'annuaires » sont un rôle privilégié dans Entra, caché dans les portails Azure et Entra ID. Ils sont généralement désignés pour les comptes de service Microsoft Entra Connect (anciennement Azure AD Connect). Toutefois, des acteurs malveillants peuvent exploiter ce rôle pour des attaques secrètes.
  Fonction de passe d'accès temporaire (TAP) activée	La fonctionnalité TAP (passe d'accès temporaire) est une méthode d'authentification temporaire qui utilise un mot de passe limité dans le temps ou à usage limité. Bien qu'il s'agisse d'une fonctionnalité légitime, il est plus sûr de la désactiver afin de réduire la surface d'attaque si votre organisation n'en a pas besoin.
  Comptes invités non restreints	Par défaut, Entra ID limite l'accès des utilisateurs invités afin de réduire leur visibilité auprès du tenant. Il est également possible d'améliorer la sécurité et la confidentialité en renforçant ces restrictions.
  Consentement non restreint des utilisateurs pour les applications	Entra ID permet aux utilisateurs de donner en toute autonomie leur consentement pour l'accès d'applications externes aux données de l'organisation, ce qui pourrait être exploité par des attaquants lors d'attaques « octroi de consentement illicite ». Empêchez cela en restreignant l'accès aux éditeurs vérifiés ou en exigeant l'approbation de l'administrateur.
  Période de validité inhabituelle du certificat de signature de fédération	Une période de validité anormalement élevée pour un certificat de signature de fédération est suspecte, car elle pourrait indiquer qu'un attaquant a obtenu des privilèges élevés dans Entra ID et a créé une porte dérobée via le mécanisme d'approbation de la fédération.
  Domaines non vérifiés	Vous devez confirmer la propriété de tous les domaines personnalisés dans Entra ID. Les domaines non vérifiés ne doivent être conservés que temporairement : vous devez soit les vérifier, soit les supprimer, afin de maintenir une liste de domaines ordonnée et de faciliter des vérifications efficaces.

• Indicateur d'exposition — Un nouvel IoE, Informations Entra ID hybrides, fournit des informations sur les données Microsoft Entra ID répliquées vers Active Directory sur site, pour permettre aux organisations d'identifier les risques de sécurité potentiels et de traiter les incohérences dans les politiques.

• Indicateurs d'exposition

  • Paramétrages dangereux sur des comptes de service administrés — Cet IoE a été amélioré pour inclure la prise en charge des groupes, simplifiant ainsi le contrôle d'accès à un compte de service géré par groupe (gMSA).

  • S'assurer de la cohérence de SDProp — Amélioration des recommandations.

  • Shadow Credentials — Amélioration des recommandations de remédiation de la vulnérabilité ROCA (Return of Coppersmith's Attack). Introduction d'une nouvelle option pour supprimer les faux positifs potentiels liés aux environnements hybrides avec Entra ID lorsque la fonction « réécriture de l'appareil » est désactivée. Cela a un impact sur le motif « Identifiants de clé orpheline » de cet IoE.

  • Deux nouvelles options pour améliorer le contrôle de la propriété et des autorisations des objets en fonction de l'appartenance à un groupe :

  • Propriétaire autorisé d'un objet (par appartenance à un groupe) : permet de désigner les principaux de sécurité comme propriétaires d'objets via leur appartenance à un groupe.

  • Liste des DN de confiance autorisés (par appartenance à un groupe) : permet l'attribution d'autorisations spéciales aux principaux de sécurité en fonction de leur appartenance à un groupe.

• Indicateur d'attaque — Le texte du vecteur d'attaque de l'IoA Golden Ticket a été amélioré.

• Attributs et types d'approbation dans les services d'annuaire

  • L'attribut trustType prend désormais en charge la valeur TTAAD (TRUST_TYPE_AAD).

  • L'attribut trustAttributes prend désormais en charge la valeur TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION).

• Fonction d'exportation — Les utilisateurs peuvent choisir le séparateur (virgule ou point-virgule) lors d'une exportation CSV, pour l'adapter facilement à de nombreux cas d'utilisation. Le navigateur se souvient du dernier séparateur utilisé lors des exportations suivantes.

La version 3.86 de Tenable Identity Exposure contient les correctifs suivants :

• Identités 360 — Cette nouvelle fonctionnalité centrée sur l'identité dans Tenable Identity Exposure fournit un inventaire riche et exhaustif de chaque identité sur la surface de risque d'identité de l'organisation.

  Cette fonctionnalité unifie les identités à travers Active Directory et Entra ID et permet de les classifier selon leur niveau de risque, de sorte que vous pouvez classer les identités dans votre organisation des plus risquées aux moins risquées.

  De plus, « Identités 360 » permet aux utilisateurs d'acquérir une compréhension approfondie de chaque identité à travers différents prismes contextuels tels que les comptes, les faiblesses et les appareils associés à une identité donnée pour obtenir un tableau complet de cette identité.

  Pour plus d'informations, voir Identités 360 dans le Guide de l'utilisateur Tenable Identity Exposure.

• Vérification de l'état du système — Une nouvelle vérification de l'état du système d'un domaine renforce la confiance dans votre déploiement d'indicateurs d'attaque en identifiant et en traitant par domaine les erreurs connues.

  Pour plus d'informations, voir Vérification de l'état du système dans le Guide de l'utilisateur Tenable Identity Exposure.

La version 3.85 de Tenable Identity Exposure contient les correctifs suivants :