Flexible Security for Your Peace of Mind

Six voies d’attaque contre Active Directory et comment y remédier

Les services de domaine Active Directory (AD DS) représentent le gros lot pour un attaquant qui chercherait à s’infiltrer dans l’environnement d’une entreprise. L’équipe « bleue » doit remédier à plusieurs types d’attaques pour renforcer la sécurité d’Active Directory. Remédier à ces attaques et s’en protéger peut nécessiter des jours ou des semaines de travail, mais les bénéfices en termes de sécurité valent largement l’effort.

Nous examinerons six chemins d’attaque à corriger en priorité pour améliorer la sécurité de l’Active Directory de votre organisation :

  • Les mots de passe faibles
  • Les attaques de type pass-the-hash
  • Le kerberoasting
  • Les attaques Golden Ticket
  • Les attaques DCSync
  • Le ciblage des applications faiblement intégrées à AD

1. Les mots de passe faibles et compromis

Pourquoi perdre du temps à tenter de pirater un environnement alors que vous pouvez simplement franchir la porte d’entrée avec des informations d’identification volées ? Les mots de passe faibles entraînent toutes sortes de problèmes de sécurité dans un environnement Active Directory. Lorsque les mots de passe dans l’environnement sont faibles, les attaquants peuvent facilement les deviner ou les « craquer » en utilisant des attaques courantes comme la force brute ou les attaques par pulvérisation de mots de passe.

Les organisations peuvent rapidement mettre en œuvre de nouvelles règles relatives aux mots de passe afin de renforcer la sécurité. Par exemple, bloquer l’utilisation des termes les plus couramment utilisés et des suites de clavier et personnaliser des dictionnaires de mots pertinents pour des organisations spécifiques. Les utilisateurs seront invités à modifier leur mot de passe lors de leur prochaine connexion afin de répondre à ces nouvelles exigences.

Cependant, les mots de passe compromis doivent également être pris en compte. Même les mots de passe les plus robustes peuvent être compromis lorsqu’ils sont réutilisés. Il apparaît extrêmement utilise d’opter pour une solution capable d’ analyser en continu votre Active Directory à la recherche de mots de passe compromis connus et d’inviter les utilisateurs finaux à les modifier.

2. Les attaques de type pass-the-hash

Contrairement aux attaques par force brute par mot de passe, l’attaque pass-the-hash s’en prend à la forme « hachée » ou cryptographique du mot de passe. Les systèmes d’exploitation clients stockent souvent cette valeur dans la mémoire. Les attaquants peuvent utiliser des logiciels malveillants pour extraire un mot de passe haché de la mémoire et ainsi accéder aux ressources d’Active Directory sans avoir à deviner de mot de passe.

Les administrateurs peuvent leur compliquer la tâche en demandant aux utilisateurs finaux de créer des mots de passe plus longs (plus de 15 caractères) qui sont stockés sous un format de hachage fort Windows NT. Les mots de passe de moins de 15 caractères peuvent également avoir un hachage de gestionnaire LAN créé avec un chiffrement plus faible. Cependant, le hachage du gestionnaire LAN n’est pas activé dans les nouvelles installations d’Active Directory. Il sera activé par défaut dans les anciens Active Directory et une modification manuelle sera nécessaire pour le désactiver. Il convient de garder à l’esprit que même si le hachage du gestionnaire LAN est désactivé dans Active Directory, d’autres systèmes peuvent toujours mettre en cache le hachage du gestionnaire LAN. Par conséquent, définir une longueur minimale de 15 caractères pour les mots de passe est le seul moyen infaillible de s’assurer qu’ils n’existent nulle part.

Il existe des niveaux de sécurité supplémentaires pour faire face à ce  type d’attaque, dont la mise en œuvre peut prendre plus de temps. L’ajout de la MFA offre une protection supplémentaire en cas de compromission du mot de passe. Il convient toutefois de garder à l’esprit que la MFA est loin d’être à l’épreuve des balles.  Par exemple, renforcer la sécurité des points d’accès pour sécuriser les clients et les protéger contre les logiciels malveillants. Les administrateurs peuvent également déployer de nouvelles fonctionnalités du système d’exploitation, comme la sécurité basée sur la virtualisation (VBS)dans les systèmes d’exploitation Windows modernes. Avec VBS, Windows conserve ses données secrètes dans un espace protégé.

3. Le kerberoasting

Le « kerberoasting » est une attaque visant les comptes de service dans les services de domaine Active Directory. Un attaquant réalise une attaque kerberoasting en obtenant un accès initial au réseau, par l’intermédiaire d’un compte d’utilisateur standard ou à faible privilège. Il demande ensuite un ticket de service pour les comptes de service de haut niveau au Centre de distribution de clés (KDC) dans Active Directory.

Le KDC répondra avec un ticket pour le compte de service chiffré avec le mot de passe du compte de service. L’attaquant peut alors extraire le compte de service de la mémoire de la machine locale qu’il a compromise. Après avoir extrait le ticket chiffré, ils le mettent hors ligne et tentent de déchiffrer le mot de passe à l’aide d’un logiciel de piratage de mot de passe. Cette méthode est très efficace car les comptes de service disposent souvent de privilèges et d’autorisations élevés, et une attaque de mot de passe hors ligne présente moins de risques d’être détectée.

Les tactiques de défense contre le kerberoasting :

  • Mettre en œuvre des politiques de mots de passe forts – utiliser des mots de passe complexes et forts pour les comptes de service. Recherche continue des mots de passe compromis
  • Modifier régulièrement les mots de passe des comptes de service. En empêchant les comptes et les mots de passe de devenir obsolètes, il est moins probable qu’un pirate soit en mesure d’utiliser un ancien ticket. Toutefois, cela n’est vraiment pratique que si vous disposez d’une solution tierce efficace pour gérer le processus.
  • Surveiller le réseau et les demandes de tickets de compte de service – recherchez les schémas anormaux dans les demandes de tickets de service
  • Assurez-vous que les politiques de mot de passe sont appliquées aux comptes périmés et inactifs, ainsi qu’aux comptes actifs et privilégiés

4. Les attaques DCSync

Les contrôleurs de domaine qui hébergent les services de domaine Active Directory synchronisent les modifications via la réplication. Un pirate peut imiter ce processus de réplication d’un contrôleur de domaine. Pour ce faire, il peut utiliser la requête GetNCChanges pour capturer les hachages d’informations d’identification du contrôleur de domaine principal. Des outils comme Mimikatz – disponibles gratuitement et en code source libre – permettent de mener facilement ce type d’attaque.

Les mesures défensives contre les attaques DCSync :

  • Assurez-vous d’avoir des règles de sécurité strictes pour les contrôleurs de domaine. Protégez vos comptes importants en utilisant des mots de passe robustes
  • Nettoyez votre Active Directory des comptes périmés et inactifs, y compris ceux utilisés pour les services
  • Suivez avec vigilance les modifications apportées aux groupes de domaines et autres activités connexes

Comme pour le kerberoasting, la protection contre les attaques DCSync nécessitera une approche à plusieurs niveaux au fil du temps. Vous aurez besoin de mettre en œuvre des protocoles de sécurité pour votre contrôleur de domaine et d’auditer Active Directory afin d’identifier les comptes essentiels et ceux qui peuvent être retirés. L’audit vous intéresse ? Téléchargez notre outil gratuit pour effectuer une analyse en lecture seule de votre Active Directory et obtenir un rapport interactif exportable.

Les attaques Golden Ticket

Une attaque par ticket d’or implique qu’un intrus obtienne le hachage NTLM du compte du service de distribution de clés de l’Active Directory (KRBTGT). En accédant au mot de passe KRBTGT, l’attaquant peut s’autoriser et autoriser d’autres personnes à générer des tickets. Cette attaque est difficile à détecter et peut compromettre durablement le réseau.

Les stratégies de protection contre les attaques de type « Golden Ticket » :

  1. Mettre à jour régulièrement le mot de passe du compte KRBTGT, idéalement en effectuant une rotation au moins tous les 180 jours
  2. Mettre en œuvre et maintenir une politique de moindre privilège dans l’ensemble de votre configuration Active Directory. Une mise en œuvre correcte de l’accès au moindre privilège peut nécessiter plusieurs phases
  3. Veiller à l’utilisation de mots de passe robustes et solides dans le cadre de votre politique de mots de passe. Ne donnez pas aux attaquants un premier point d’ancrage facile dans votre environnement

6. Le ciblage des applications faiblement intégrées à AD

Les organisations peuvent avoir des applications héritées faiblement intégrées à AD qui utilisent des identifiants codés en dur, un chiffrement faible, des protocoles de sécurité réseau faibles ou d’autres architectures logicielles à risque. Tous ces éléments peuvent permettre à des pirates de pénétrer dans leur Active Directory. Toutefois, il faut garder à l’esprit que la remise en état des applications cruciales héritées du passé peut être une entreprise importante pouvant nécessiter des mois ou plus.

Les applications logicielles peuvent devoir être remaniées ou remplacées complètement, ce qui peut s’avérer difficile. Il est essentiel de bien comprendre le paysage logiciel en procédant à un audit approprié. Ensuite, les entreprises doivent décider si les risques liés à la sécurité justifient le remaniement ou la réécriture des applications. Si cela n’est pas possible, la mise en œuvre d’autres mesures de sécurité pour atténuer le risque peut être une option.

Le thème commun ? La sécurité du mot de passe.

Comprendre les voies d’attaque afin de protéger Active Directory est essentiel pour les entreprises qui utilisent les services de domaine Active Directory. Certaines voies d’attaque peuvent être corrigées plus rapidement que d’autres, mais l’une des étapes les plus cruciales pour aider à se protéger contre la plupart des voies d’attaque est de renforcer la sécurité des informations d’identification de l’utilisateur.

Vous aurez remarqué que, du point de vue d’un pirate, la clé de la plupart de ces voies d’attaque consiste à prendre pied via un compte au sein de votre organisation. Le moyen le plus simple pour les pirates d’y parvenir est d’exploiter un mot de passe faible ou compromis.

Specops Password Policy peut vous aider à mettre en place rapidement des politiques de mots de passe solides qui vont au-delà des paramètres par défaut d’Active Directory. Votre Active Directory sera également analysé en continu à la recherche de plus de 4 milliards de mots de passe uniques compromis connus. Parlez à un expert pour savoir comment Specops Password Policy pourrait s’adapter à votre organisation.

(Dernière mise à jour le 18/03/2024)

Revenir sur le blog

© 2024 Specops Software. All rights reserved.

Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.

Politique de confidentialité

OK