Kerberoasting : comment assurer la sécurité de votre Active Directory ?

Le compte d’administrateur de domaine est le Saint-Graal des comptes privilégiés dans un environnement Microsoft Active Directory. Si un pirate parvient à mettre la main sur un compte d’administrateur de domaine, il aura accès à pratiquement tout le reste. Le kerberoasting est une technique que les attaquants utilisent pour escalader les privilèges au sein d’Active Directory.

Nous allons voir ce qu’est le kerberoasting, ce qui rend Active Directory vulnérable et comment il est possible de l’empêcher.

Qu’est-ce que Kerberos ?

Pour comprendre ce qu’est le kerberoasting, il faut d’abord comprendre ce qu’est Kerberos. Kerberos est le protocole d’authentification utilisé dans Active Directory de Microsoft. Il permet de vérifier l’identité d’un utilisateur ou d’un ordinateur qui demande l’accès à des ressources. Les clients reçoivent un jeton spécial appelé ticket par l’intermédiaire du Centre de distribution de clés Kerberos (KDC) d’Active Directory.

Le Ticket Granting Ticket (TGT) d’Active Directory est le mécanisme qui accorde des autorisations pour demander un ticket TGS (Ticket Granting Service). Le ticket TGS est ensuite utilisé pour accéder aux ressources du domaine, comme les serveurs de fichiers par exemple.

Qu’est-ce que le « kerberoasting » ?

Le kerberoasting est une attaque par élévation de privilèges qui exploite le protocole d’authentification Kerberos dans Microsoft Active Directory et le mécanisme d’attribution de tickets décrit ci-dessus. Un attaquant peut utiliser un compte utilisateur Windows standard pour accéder au hachage du mot de passe d’un utilisateur privilégié.

Reconnue comme une technique d’attaque post-exploitation, l’objectif du kerberoasting est d’obtenir un hachage de mot de passe pour un compte Active Directory qui a un nom de principe de service (SPN). Un SPN lie un service Kerberos à un compte d’utilisateur dans Active Directory. L’attaquant demande un ticket Kerberos pour un SPN et le ticket récupéré est chiffré avec le hachage du mot de passe du compte cible associé au SPN. L’attaquant travaille ensuite hors ligne pour tenter de déchiffrer le hachage du mot de passe et finalement prendre le contrôle du compte et de l’accès associé.

Ces attaques peuvent être difficiles à détecter car elles ne s’appuient pas sur des logiciels malveillants : elles ne seront donc pas détectées par les antivirus ou d’autres solutions traditionnelles. Le kerberoasting est difficile à détecter pour toute solution de cybersécurité qui n’analyse pas le comportement des utilisateurs approuvés.

Qu’est-ce qu’un compte de service Active Directory ?

La plupart des organisations utilisent un compte de service pour exécuter des services Windows sur des serveurs dans un environnement de domaine Active Directory. En règle générale, ces comptes ne sont pas utilisés par les utilisateurs ordinaires. Au lieu de cela, les administrateurs créent un compte utilisateur Active Directory, définissent un mot de passe qui n’expire pas et définissent le mot de passe de l’utilisateur.

Comme vous pouvez le voir ci-dessous, le compte de service affecté au service Windows apparaît dans la console Services.

Si vous double-cliquez sur un service, vous verrez les détails du compte de service associé.

Les comptes de service peuvent être dangereux car ils disposent généralement d’autorisations de haut niveau sur un serveur, voire d’un accès d’administrateur de domaine. Ils sont souvent mal surveillés et peuvent être configurés avec des mots de passe faibles et faciles à compromettre qui peuvent être rapidement craqués à l’aide des outils mentionnés plus haut.

Comment fonctionne le kerberoasting ?

Pour mener à bien une attaque de type « kerberoasting », le pirate doit se trouver sur le réseau de l’entreprise où réside  Active Directory afin d’avoir un accès et une communication « en ligne de mire » avec un contrôleur de domaine. Dans un premier temps, le pirate exploite des informations d’identification faibles pour accéder à un compte d’utilisateur standard, puis utilise la technique du « kerberoasting » pour compromettre le ticket de service Kerberos légitime de l’Active Directory.

Pour que cette attaque fonctionne, l’attaquant doit déjà avoir accès à un compte utilisateur Windows standard. Les attaquants peuvent utiliser n’importe quel compte de domaine pour une attaque par kerberoasting car n’importe quel compte peut demander des tickets au TGS.

Comment les attaquants accèdent-ils à un compte Windows standard valide dans l’environnement ? Ils peuvent utiliser plusieurs méthodes pour compromettre un compte d’utilisateur valide. On note par exemple :

• Les attaques par hameçonnage
• Les logiciels malveillants
• Les courtiers d’accès initiaux
• L’ingénierie sociale

Une fois qu’un attaquant se trouve à l’intérieur du réseau, il peut demander un ticket de service Kerberos au service d’attribution de tickets (TGS) dans Active Directory. Il existe de nombreux outils gratuits et libres qui facilitent ce processus. Citons par exemple Rubeus de GhostPack ou GetUserSPNs.py de SecureAuth Corporation. La plupart de ces outils sont disponibles dans le cadre de Kali Linux, une distribution Debian spécialement conçue pour les tests de pénétration en matière de cybersécurité.

L’exécution de ces scripts sur Active Directory permet de rechercher tous les comptes d’utilisateurs associés à des SPN sur le domaine et de demander leur ticket valide au contrôleur de domaine. Le ticket renvoyé par le contrôleur de domaine est crypté avec un hachage NTLM.

L’attaquant capturera alors la valeur renvoyée du ticket Kerberos et l’emportera hors ligne pour utiliser un outil de mot de passe tel que Hashcat ou John the Ripper, en utilisant une table arc-en-ciel ou la force brute pour craquer le mot de passe du compte d’utilisateur associé au ticket Kerberos.

Contournement des antivirus et de la surveillance du trafic réseau

L’une des raisons pour lesquelles le kerberoasting est apprécié des attaquants est qu’il leur permet de mener l’attaque hors ligne. En effet, ils n’utilisent pas de logiciels malveillants susceptibles d’être bloqués par les programmes antivirus et, comme ils ont recours au hachage hors ligne pour le craquage, le kerberoasting n’implique pas de trafic réseau inhabituel ni de connexion à un compte. Ainsi, après les activités initiales visant à obtenir le hachage du ticket Kerberos, un attaquant peut travailler entièrement hors ligne jusqu’à ce qu’il ait craqué le hachage du mot de passe du compte de service.

Comment les organisations peuvent-elles se protéger contre les attaques de type « kerberoasting » ?

Il peut être difficile de se protéger contre le kerberoasting puisqu’il utilise la fonctionnalité Kerberos légitime et le service d’attribution de tickets pour mener l’attaque à bien. Cependant, il existe certainement des bonnes pratiques que les organisations peuvent suivre pour renforcer les mots de passe de leurs comptes et la sécurité de leurs comptes de service. Gardez-bien en tête les points suivants :

• Respectez le principe du moindre privilège et accordez des autorisations d’administrateur avec parcimonie. Les comptes de service se voient souvent accorder des droits d’administration. Les droits d’administrateur sont souvent accordés alors qu’ils ne sont pas nécessaires afin de contourner les difficultés ou les obstacles.
• Contrôlez régulièrement les mots de passe de tous les comptes de domaine, y compris les comptes de service. Veillez à vérifier les mots de passe des comptes de domaine Active Directory, y compris les comptes de service. Si des mots de passe faibles sont attribués aux comptes de service configurés dans le domaine, les administrateurs doivent en avoir connaissance.
• Utilisez des outils tiers. La réalisation d’un audit efficace des mots de passe Active Directory nécessite l’utilisation d’outils tiers. Il n’est pas facile d’auditer manuellement les mots de passe Active Directory en utilisant des scripts maison et d’autres outils que les administrateurs doivent eux-mêmes maintenir à jour.

Comment Specops Password Auditor peut-il vous aider ?

Specops Password Auditor offre un outil automatisé gratuit pour analyser et trouver de manière proactive les mots de passe faibles, réutilisés et compromis au sein de votre environnement Active Directory. Il rend ce processus extrêmement facile en fournissant un outil d’audit automatisé qui vérifie les mots de passe des comptes d’utilisateurs Active Directory par rapport à une liste de mots de passe vulnérables obtenus à partir de multiples sources de fuites de données.

Il fournit également des informations précieuses comme une vue d’ensemble sur les comptes d’administrateur dans le domaine d’une organisation, y compris les comptes d’administrateur et d’utilisateur inactifs/stables. Ces capacités aident les administrateurs à auditer les comptes de service dans le domaine pour la sécurité des mots de passe et à donner de la visibilité aux comptes de service avec des permissions d’administrateur. Specops Password Auditor vous donne une vue complète sur les comptes périmés dans vos organisations, qui sont souvent un point de départ pour les attaques de kerberoasting. Vous pouvez également visualiser tous les comptes administrateurs délégables et choisir de les marquer comme « sensibles et ne pouvant être délégués » dans votre environnement.

Il génère également des rapports de comparaison des paramètres de mot de passe de votre organisation par rapport aux normes de conformité du secteur comme celle de l’ANSSI, de la CNIL, du NIST, PCI, HiTrust, et bien d’autres encore.