L’annuaire Active Directory, un actif de plus en plus ciblé par les cybercriminels… et à risque !

0

Dans leur quête d’accès aux réseaux des entreprises, les cybercriminels utilisent la moindre faille. Sans parler de tendance, car la méthode n’est pas nouvelle, nous avons toutefois observé au cours des derniers mois, une recrudescence des cas de compromission d’annuaires Active Directory.

Les raisons sont multiples (Microsoft est très répandu dans les entreprises, l’AD a une position centrale au sein du système d’information, etc.) et la combinaison de facteurs et de contextes aggravent et mettent à risque l’annuaire de toutes les entreprises.

Analysons en détails les raisons du développement de ces attaques, pour mieux aider les entreprises à se protéger.

Les utilisateurs utilisent le même mot de passe pour leur compte professionnel et personnel

Les fuites de données majeures, de services destinés au grand public, incluant des identifiants et des mots de passe permettent aux pirates d’attaquer par rejeu de mot de passe. Bien que cela soit facilement parable, une fois l’attaque détectée, un trop grand nombre d’entreprises n’ont pas mis en place de politique de mots de passe complexe ou pire encore de verrouillage de comptes comme solution détournée d’administrateurs inconscients. Cela résoudrait pourtant, par exemple, les problèmes de comptes se bloquant à cause de l’active Sync en ne traitant pas le problème initial (ou root cause dans le jargon informatique).

Nous pourrions également nous attendre à ce qu’aujourd’hui les entreprises aient mis en place des politiques de gestion des comptes à privilège. Notamment en faisant en sorte que les administrateurs aient deux comptes et travaillent dans un environnement authentifié avec le compte bureautique, et que des politiques de mot de passe plus fortes soient en vigueur pour ces comptes à privilège. Et bien non… En effet, dans un tiers des audits conduits, ce problème de sécurité est encore constaté. Par ailleurs, comment est-il possible de s’assurer que la personne est derrière un compte, si le mot de passe a été trouvé du premier coup ?

L’annuaire porte le poids de l’historique et suit la vie de l’entreprise

L’annuaire Active Directory a connu de nombreuses évolutions. Au passage de NT4 à Active Directory 2000 il y a quelques années, Microsoft demandait de créer des forêts Active Directory (l’entité de regroupant les arborescences de domaines), les pratiques ont ensuite changé pour mettre en place une seule forêt. Quelques années plus tard ce fut renforcé par les contraintes des mécanismes de provisionnement de l’identité, dans le cas de déploiement de service Cloud comme Office 365.

Ces mises à niveau, ces refontes, ces migrations sont souvent menées par l’infrastructure et la sécurité n’est pas embarquée. De ce fait, cela génère de nombreux problèmes de configuration et de nombreux risques post migration, même si cela donne l’impression que « ça fonctionne ». Quelques exemples de problèmes rencontrés : SID history, niveau de chiffrement faible, comptes AD krbgt à risque, récupération d’un grand nombre de comptes inutiles et à privilège, etc.

Les failles Kerberos sont exploitables très facilement

La démocratisation de la connaissance des failles kerberos (le célèbre protocole d’authentification développé par le MIT) et l’outillage pour les exploiter fait qu’un « script kiddy » est désormais capable en peu de temps de réaliser une attaque Golden ticket. Rappelons que l’attaque Golden Ticket (en référence au ticket d’or du film « Charlie et la Chocolaterie ») permet au hacker d’obtenir un accès total et complet à l’intégralité d’un domaine et à tous les ordinateurs, fichiers, dossiers et contrôles de domaines (DC) les plus importants !

Dans certains cas, il se peut que des hackers aient détenu un Golden Ticket pendant plusieurs années, ayant ainsi pu dérober déjà beaucoup d’éléments sans que personne ne le sache.

Comment se prémunir d’attaques de l’annuaire Active Directory ?

Concrètement, la sécurité de l’Active directory s’appuie sur une approche multicouche :

  • La maitrise du change – capter les évènements de sécurité sur les contrôleurs de domaines
  • La gestion des problèmes de configuration et des vulnérabilités
  • La cyber sécurité et la protection contre l’exploitation des failles Kerberos

Ainsi, la protection idéale est de mettre en place une solution s’appuyant sur une approche sans agent (« agent less ») pour capter les évènements de sécurité sur l’ensemble des contrôleurs de domaine, tout en offrant la possibilité de déployer des proxys, permettant de :

  • De distiller les évènements (ne prendre que ceux qui ont du sens)
  • D’agréger les évènements afin de les rendre intelligibles pour une analyse de type Forensic
  • De compresser avec des taux approchant les 95% réduisant d’autant le trafic réseau.
Share.

About Author

Leave A Reply