Notes de version Tenable Identity Exposure 2025
Ces notes de version sont répertoriées dans l'ordre chronologique inverse.
Tenable Identity Exposure 3.87 (2025-02-06)

-
Centre d'exposition — Suppression des références au classement VPR (Vulnerability Priority Rating) de la Vue d'ensemble de la cyber-exposition, car Tenable Identity Exposure ne renseigne pas ces scores pour les indicateurs d'exposition liés aux identités.

La version 3.87 de Tenable Identity Exposure contient les correctifs suivants :
Correctifs |
---|
Dans « Identités 360 », la source de faiblesse « TENABLE_IDENTITY_EXPOSURE » n'est plus dupliquée. |
L'indicateur d'attaque Golden Ticket déclenche désormais une alerte lorsque l'attaquant utilise un ticket TGT forgé en mode standard. |
Tenable Identity Exposure a résolu la vulnérabilité de sécurité CVE-2022-24434 qui affecte certains composants logiciels, permettant potentiellement aux attaquants d'exploiter des faiblesses telles que l'élévation de privilèges, l'exécution de code à distance ou le déni de service. |
Tenable Identity Exposure a résolu un problème à cause duquel le déclenchement de la mise à jour d'une stratégie de groupe pouvait entraîner le blocage de l'écouteur de journalisation des événements Tenable dans l'attente d'une entrée interactive de l'utilisateur. |
Tenable Identity Exposure (2025-02-05)

-
Centre d'exposition — Le Centre d'exposition est une fonctionnalité de Tenable Identity Exposure qui améliore la posture de sécurité des identités de votre organisation. Il identifie les faiblesses et les mauvaises configurations sur votre surface de risques liés aux identités, et couvre aussi bien les systèmes d'identité sous-jacents, tels qu'Entra ID, que les identités au sein de ces systèmes.
L'expérience utilisateur de cette fonctionnalité s'articule autour de trois concepts interdépendants : la vue d'ensemble de la cyber-exposition, les instances d'exposition et les détections. Tenable Research prend en charge ces concepts avec un nouveau moteur de sécurité et des indicateurs d'exposition (IoE) conçus spécialement pour optimiser leurs fonctionnalités.
Pour plus d'informations, voir Centre de l'exposition dans le Guide de l'utilisateur Tenable Identity Exposure.
-
Nouveaux indicateurs d'exposition Entra ID
Nom Description Capacité des comptes standards à enregistrer des applications Par défaut, n'importe quel utilisateur d'Entra peut enregistrer des applications au sein du tenant. Bien que cette fonctionnalité soit pratique et ne constitue pas une vulnérabilité de sécurité immédiate, elle présente certains risques. Par conséquent, conformément aux bonnes pratiques, Tenable recommande de désactiver cette fonctionnalité. Applications permettant l'authentification multi-tenant Les applications Entra, qui permettent l'authentification multi-tenant, peuvent fournir un accès non autorisé à des utilisateurs malveillants si cette configuration n'a pas été activée en toute connaissance de cause et sans mettre en œuvre des contrôles d'autorisation adéquats dans le code de l'application. Une stratégie d'accès conditionnel désactive l'évaluation continue des accès L'évaluation continue des accès est une fonctionnalité de sécurité Entra ID qui permet de réagir rapidement aux modifications de stratégie de sécurité ou aux mises à jour de statut des utilisateurs. Il est donc important de ne pas la désactiver. Autorisations d'application dangereuses affectant le tenant Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer elles-mêmes des actions sur les services Microsoft (appelées « autorisations d'application »). Certaines autorisations peuvent constituer une grave menace pour l'ensemble du tenant Microsoft Entra. Autorisations déléguées dangereuses affectant le tenant Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer elles-mêmes des actions sur les services Microsoft (appelées « autorisations d'application »). Certaines autorisations peuvent constituer une grave menace pour l'ensemble du tenant Microsoft Entra. Comptes désactivés assignés à un rôle privilégié Il est crucial de surveiller les attributions à des rôles privilégiés pour assurer une gestion saine des comptes. Appareils dormants Les appareils dormants posent des risques de sécurité tels que des configurations obsolètes et des vulnérabilités non corrigées. En l'absence de surveillance et de mises à jour régulières, ces appareils obsolètes deviennent des cibles potentielles d'exploitation, compromettant ainsi l'intégrité des tenants et la confidentialité des données. Utilisateurs dormants sans privilèges Les utilisateurs dormants sans privilèges posent des risques de sécurité, car des attaquants peuvent les exploiter pour obtenir des accès non autorisés. En l'absence de surveillance et de désactivation régulières, ces utilisateurs obsolètes créent des points d'entrée potentiels pour des activités malveillantes en étendant la surface d'attaque. Utilisateurs dormants avec privilèges Les utilisateurs dormants avec privilèges posent des risques de sécurité, car des attaquants peuvent les exploiter pour obtenir des accès non autorisés. En l'absence de surveillance et de désactivation régulières, ces utilisateurs obsolètes créent des points d'entrée potentiels pour des activités malveillantes en étendant la surface d'attaque. Groupes dynamiques dotés d'une règle exploitable Les attaquants peuvent exploiter les groupes dynamiques dans Microsoft Entra ID en manipulant des attributs d'auto-modification, leur permettant ainsi de s'ajouter en tant que membres d'un groupe. Cette manipulation permet une élévation de privilèges et un accès non autorisé à des ressources sensibles liées aux groupes. Groupes Entra vides Les groupes vides peuvent créer de la confusion, compromettre la sécurité et nuire à l'utilisation optimale des ressources. Il est généralement recommandé d'établir un but clair pour les groupes et de s'assurer qu'ils contiennent les membres concernés. Paramètres de sécurité Entra par défaut non activés Les paramètres de sécurité par défaut Entra ID sont des paramètres préconfigurés et recommandés par Microsoft pour améliorer la protection des tenants. Liste de domaines fédérés La configuration malveillante de domaines fédérés constitue une menace courante, utilisée par les attaquants comme porte dérobée d'authentification vers le tenant Entra ID. La vérification des domaines fédérés existants et nouvellement ajoutés est essentielle pour garantir la fiabilité et la légitimité de leurs configurations. Cet indicateur d'exposition fournit une liste complète des domaines fédérés et de leurs attributs pertinents, afin de vous aider à prendre des décisions éclairées concernant leur statut de sécurité. Non-concordance des certificats de signature de fédération Microsoft Entra ID permet de déléguer l'authentification à un autre fournisseur via la fédération. Toutefois, les attaquants disposant de privilèges élevés peuvent exploiter cette fonction en ajoutant un certificat de signature de jeton malveillant, ce qui permet la persistance et l'élévation des privilèges. Principaux de service propriétaires (ou internes) avec identifiants Les principaux de service propriétaires (ou internes) disposent de puissantes autorisations, mais sont souvent négligés en raison de leur volume élevé, d'un manque de visibilité et du fait qu'ils sont détenus par Microsoft. Les attaquants peuvent profiter de cette situation en ajoutant des identifiants à ces principaux, ce qui leur permet d'exploiter discrètement leurs autorisations à des fins d'élévation de privilèges et de persistance. Comptes invités disposant d'un rôle avec privilèges Les comptes invités sont des identités externes qui peuvent poser un risque de sécurité lorsque des rôles privilégiés leur sont assignés. Cela accorde des privilèges substantiels au sein du tenant à des personnes externes à votre organisation. Comptes invités disposant d'un accès identique aux comptes normaux Il est déconseillé de configurer Entra ID pour considérer les invités comme des utilisateurs standards, car cela pourrait permettre à des invités malveillants d'effectuer une reconnaissance complète des ressources du tenant. Nombre d'administrateurs élevé Un nombre d'administrateurs important augmente la surface d'attaque et présente des risques de sécurité en raison de leurs privilèges élevés. Cela traduit également un non-respect du principe du moindre privilège. Porte dérobée de domaine fédéré connue Microsoft Entra ID permet de déléguer l'authentification à un autre fournisseur via la fédération. Toutefois, les attaquants disposant de privilèges élevés peuvent exploiter cette fonction en ajoutant leur propre domaine fédéré malveillant, ce qui permet la persistance et l'élévation des privilèges. Authentification héritée non bloquée Les méthodes d'authentification héritées ne prennent pas en charge l'authentification multifacteur (MFA), ce qui permet aux attaquants de continuer à effectuer des attaques par force brute, par envoi massif d'identifiants et par pulvérisation de mot de passe. Authentification multifacteur manquante pour comptes sans privilèges L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier. Authentification multifacteur manquante pour comptes avec privilèges L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier. Authentification multifacteur non requise pour rôle avec privilèges L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, en particulier pour les comptes avec privilèges disposant de rôles privilégiés. Authentification multifacteur non requise pour connexions à risque L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'exiger une authentification MFA pour les connexions risquées, par exemple lorsque la demande d'authentification pourrait ne pas provenir du propriétaire légitime de l'identité. Appareils jamais utilisés Évitez les comptes d'appareils précréés et jamais utilisés, car ils indiquent une mauvaise hygiène de sécurité et peuvent potentiellement poser des risques. Utilisateurs sans privilèges jamais utilisés Les comptes utilisateur non privilégiés qui n'ont jamais été utilisés peuvent être compromis, car ils échappent généralement à la détection effectuée par les mesures défensives. De plus, leurs mots de passe par défaut en font des cibles de choix pour les attaquants. Utilisateurs avec privilèges jamais utilisés Les comptes utilisateur avec privilèges qui n'ont jamais été utilisés peuvent être compromis, car ils échappent généralement à la détection effectuée par les mesures défensives. De plus, leurs mots de passe par défaut en font des cibles de choix pour les attaquants. Protection par mot de passe non activée pour les environnements sur site La protection des mots de passe de Microsoft Entra est une fonctionnalité de sécurité qui empêche les utilisateurs de définir des mots de passe faciles à deviner, afin de renforcer la sécurité globale des mots de passe dans une organisation. Stratégie de nommage des comptes avec privilèges Il est essentiel d'adopter une stratégie de nommage pour les utilisateurs avec privilèges dans Entra ID à des fins de sécurité, de normalisation et de conformité aux audits. En outre, elle facilite l'administration. Comptes Entra privilégiés synchronisés avec Active Directory (hybride) Les comptes hybrides (synchronisés à partir d'Active Directory) qui ont des rôles avec privilèges dans Entra ID présentent un risque pour la sécurité, car ils permettent aux attaquants qui compromettent AD de pivoter vers Entra ID. Dans Entra ID, les comptes privilégiés doivent être des comptes « cloud seulement ». Comptes Entra privilégiés avec accès aux services Microsoft 365 Vous devez disposer de comptes Entra distincts pour les tâches d'administration : un compte standard pour un usage quotidien et un compte privilégié dédié pour les activités administratives. Cette approche réduit la surface d'attaque du compte privilégié, améliorant ainsi la sécurité. Groupes Microsoft 365 publics Les groupes Microsoft 365 stockés dans Entra ID sont publics ou privés. Les groupes publics posent un risque de sécurité, car n'importe quel utilisateur du tenant peut les rejoindre et accéder à leurs données (chats/fichiers des équipes, e-mails, etc.). Afficher du contexte supplémentaire dans les notifications de Microsoft Authenticator Pour une meilleure visibilité, activez les notifications de Microsoft Authenticator afin d'afficher du contexte supplémentaire, comme le nom de l'application et la géolocalisation. Cela aide les utilisateurs à identifier et à refuser les demandes d'authentification MFA ou sans mot de passe potentiellement malveillantes, atténuant ainsi le risque d'attaques par demande d'authentification répétée. Groupe Entra à membre unique Il est déconseillé de créer un groupe avec un seul membre, car cela introduit de la redondance et de la complexité. Cette pratique complique inutilement la gestion en ajoutant des couches et diminue l'efficacité prévue des groupes pour la rationalisation du contrôle et de la gestion des accès. Attribution suspecte du rôle « Comptes de synchronisation d'annuaires » Les « Comptes de synchronisation d'annuaires » sont un rôle privilégié dans Entra, caché dans les portails Azure et Entra ID. Ils sont généralement désignés pour les comptes de service Microsoft Entra Connect (anciennement Azure AD Connect). Toutefois, des acteurs malveillants peuvent exploiter ce rôle pour des attaques secrètes. Fonction de passe d'accès temporaire (TAP) activée La fonctionnalité TAP (passe d'accès temporaire) est une méthode d'authentification temporaire qui utilise un mot de passe limité dans le temps ou à usage limité. Bien qu'il s'agisse d'une fonctionnalité légitime, il est plus sûr de la désactiver afin de réduire la surface d'attaque si votre organisation n'en a pas besoin. Comptes invités non restreints Par défaut, Entra ID limite l'accès des utilisateurs invités afin de réduire leur visibilité auprès du tenant. Il est également possible d'améliorer la sécurité et la confidentialité en renforçant ces restrictions. Consentement non restreint des utilisateurs pour les applications Entra ID permet aux utilisateurs de donner en toute autonomie leur consentement pour l'accès d'applications externes aux données de l'organisation, ce qui pourrait être exploité par des attaquants lors d'attaques « octroi de consentement illicite ». Empêchez cela en restreignant l'accès aux éditeurs vérifiés ou en exigeant l'approbation de l'administrateur. Période de validité inhabituelle du certificat de signature de fédération Une période de validité anormalement élevée pour un certificat de signature de fédération est suspecte, car elle pourrait indiquer qu'un attaquant a obtenu des privilèges élevés dans Entra ID et a créé une porte dérobée via le mécanisme d'approbation de la fédération. Domaines non vérifiés Vous devez confirmer la propriété de tous les domaines personnalisés dans Entra ID. Les domaines non vérifiés ne doivent être conservés que temporairement : vous devez soit les vérifier, soit les supprimer, afin de maintenir une liste de domaines ordonnée et de faciliter des vérifications efficaces.
Tenable Identity Exposure 3.86 (2025-01-23)

-
Indicateur d'exposition — Un nouvel IoE, Informations Entra ID hybrides, fournit des informations sur les données Microsoft Entra ID répliquées vers Active Directory sur site, pour permettre aux organisations d'identifier les risques de sécurité potentiels et de traiter les incohérences dans les politiques.

-
Indicateurs d'exposition
-
Paramétrages dangereux sur des comptes de service administrés — Cet IoE a été amélioré pour inclure la prise en charge des groupes, simplifiant ainsi le contrôle d'accès à un compte de service géré par groupe (gMSA).
-
S'assurer de la cohérence de SDProp — Amélioration des recommandations.
-
Shadow Credentials — Amélioration des recommandations de remédiation de la vulnérabilité ROCA (Return of Coppersmith's Attack).
-
Deux nouvelles options pour améliorer le contrôle de la propriété et des autorisations des objets en fonction de l'appartenance à un groupe :
-
Propriétaire autorisé d'un objet (par appartenance à un groupe) : permet de désigner les principaux de sécurité comme propriétaires d'objets via leur appartenance à un groupe.
-
Liste des DN de confiance autorisés (par appartenance à un groupe) : permet l'attribution d'autorisations spéciales aux principaux de sécurité en fonction de leur appartenance à un groupe.
-
-
Indicateur d'attaque — Le texte du vecteur d'attaque de l'IoA Golden Ticket a été amélioré.
-
Attributs et types d'approbation dans les services d'annuaire
-
L'attribut trustType prend désormais en charge la valeur TTAAD (TRUST_TYPE_AAD).
-
L'attribut trustAttributes prend désormais en charge la valeur TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION).
-
-
Fonction d'exportation — Les utilisateurs peuvent choisir le séparateur (virgule ou point-virgule) lors d'une exportation CSV, pour l'adapter facilement à de nombreux cas d'utilisation. Le navigateur se souvient du dernier séparateur utilisé lors des exportations suivantes.

La version 3.86 de Tenable Identity Exposure contient les correctifs suivants :
Correctifs |
---|
L'interface web peut désormais gérer les caractères spéciaux signalés dans les vérifications de l'état du système. |
L'IoE Délégation Kerberos dangereuse comprend désormais tous les attributs incriminants relatifs au SPN orphelin. |
Dans la vue des assets, les nœuds Tier 0 sont désormais systématiquement disponibles. |
Tenable Identity Exposure empêche désormais l'enregistrement dans les journaux d'activité des appels non authentifiés avec des services internes, garantissant ainsi des enregistrements de journaux plus clairs et plus précis. |
La vérification de l'intégrité des versions du collecteur de données et du Relay est désormais considérée comme correcte (de couleur verte) si les numéros de version majeure et mineure du Relay et du collecteur de données sont identiques, ou si leurs numéros de version mineure ne diffèrent que d'un incrément. Cela confère une certaine souplesse pour les mises à jour automatiques ou lorsque la mise à jour du logiciel est légèrement en avance sur la plateforme pendant les déploiements. |
Tenable Identity Exposure n'empêche plus l'analyse de réussir si la collecte de données sensibles n'est pas correctement configurée. |
Tenable Identity Exposure a amélioré la vitesse d'analyse des journaux d'événements Windows, empêchant ainsi le produit d'accumuler du retard. Vous devez redéployer les indicateurs d'attaque pour bénéficier de cette modification. |
Tenable Identity Exposure (2025-01-10)

-
Identités 360 — Cette nouvelle fonctionnalité centrée sur l'identité dans Tenable Identity Exposure fournit un inventaire riche et exhaustif de chaque identité sur la surface de risque d'identité de l'organisation.
Cette fonctionnalité unifie les identités à travers Active Directory et Entra ID et permet de les classifier selon leur niveau de risque, de sorte que vous pouvez classer les identités dans votre organisation des plus risquées aux moins risquées.
De plus, « Identités 360 » permet aux utilisateurs d'acquérir une compréhension approfondie de chaque identité à travers différents prismes contextuels tels que les comptes, les faiblesses et les appareils associés à une identité donnée pour obtenir un tableau complet de cette identité.
Pour plus d'informations, voir Identités 360 dans le Guide de l'utilisateur Tenable Identity Exposure.
Tenable Identity Exposure 3.85 (2025-01-08)

-
Vérification de l'état du système — Une nouvelle vérification de l'état du système d'un domaine renforce la confiance dans votre déploiement d'indicateurs d'attaque en identifiant et en traitant par domaine les erreurs connues.
Pour plus d'informations, voir Vérification de l'état du système dans le Guide de l'utilisateur Tenable Identity Exposure.

La version 3.85 de Tenable Identity Exposure contient les correctifs suivants :
Correctifs |
---|
Tenable Identity Exposure récupère désormais l'attribut pwdLastSet précédent pour calculer l'intervalle entre deux réinitialisations de mot de passe lors des attaques signalées par l'IoA Changement de mot de passe suspect sur un DC. |
Tenable Identity Exposure a corrigé les options « Seuil de verrouillage » et « Durée de verrouillage » dans l'IoE Stratégies de mots de passe faibles appliquées aux utilisateurs, vous permettant ainsi d'autoriser les déviances lorsque leurs valeurs sont égales à 0. |
L'IoA Dumping des identifiants système résout désormais correctement l'adresse IP source, le nom d'hôte source et l'IP cible lorsque l'attaque est déclenchée par NT AUTHORITY\SYSTEM. |
Tenable Identity Exposure a résolu une vulnérabilité de divulgation d'informations d'authentification afin d'empêcher les administrateurs d'extraire les informations d'authentification de compte SMTP stockées. |