Orin Thomas

L'exploitation des erreurs de configuration de l'Active Directory est une voie populaire pour les attaquants. Selon Microsoft, 95 millions de comptes AD sont cibléschaque jour. Les attaquants utilisent les failles de sécurité de l'Active Directory pour obtenir un accès privilégié et se déplacer dans les systèmes compromis, en récoltant des actifs précieux, en installant des logiciels malveillants ou en implantant des rançongiciels, entre autres tactiques.

Protégez votre organisation en corrigeant au plus vite ces erreurs de configuration AD.

1. Donneurs d'ordre autres que ceux par défaut disposant de droits DCSync

La fonction DCSync se fait passer pour un contrôleur de domaine (DC) et demande des données de mot de passe à un DC ciblé en utilisant le protocole à distance Directory Replication Services.

Détecter le problème

  • Recherchez les comptes auxquels les droits suivants ont été délégués :
    • Réplication des changements de répertoire (DS-Replication-Get-Changes)
    • Réplication de tous les changements de l'annuaire (DS-Replication-Get-Changes-All)
    • Réplication des modifications dans le jeu de filtre (DS-Replication-Get-Changes)
  • Déterminez si DCSync est utilisé pour héberger d'autres contrôleurs de domaine.
  • Déterminez si les comptes qui ne sont pas membres de Domains Admins ou Domain Controllers disposent de ces droits.

Remédiation

Pour une discussion approfondie de ce problème et de la manière de le résoudre, voir ce billet sur la sécurité AD 101.

2. Modification des autorisations sur l'objet AdminSDHolder

AdminSDHolder fournit des autorisations de modèle pour les comptes et les groupes protégés. Contrairement à la plupart des objets du domaine Active Directory, l'objet AdminSDHolder appartient au groupe Domain Admins. Par défaut, les administrateurs d'entreprise, les administrateurs de domaine et les groupes Administrateurs peuvent modifier l'objet AdminSDHolder de n'importe quel domaine. En outre, les membres des groupes Administrators ou Enterprise Admins peuvent devenir propriétaires de l'objet. Les autorisations de modèle de AdminSDHolder sont également persistantes, ce qui signifie qu'elles sont réappliquées toutes les 60 minutes.

Détection

Pour trouver des configurations erronées de ce type dans Active Directory, recherchez des comptes d'utilisateurs inhabituels auxquels sont attribuées des autorisations dans les listes de contrôle d'accès AdminSDHolder. Généralement, vous découvrirez cela en supprimant un titulaire de permission inconnu, tel que "harry_the_frog", et en voyant ce même titulaire réapparaître 60 minutes plus tard. Cela devrait être un déclencheur pour vous rappeler la persistance de AdminSDHolder.

Remédiation

  • Utilisez ADSIEdit pour vous connecter au contexte de dénomination par défaut et localisez le conteneur AdminSDHolder.
  • Sélectionnez Propriétés.
  • Dans Sécurité avancée, cliquez sur Restaurer les valeurs par défaut.
  • Forcer la réplication en utilisant repadmin/syncall.

3. Mots de passe réversibles dans les objets de stratégie de groupe

Le paramètre de stratégie Stocker le mot de passe à l'aide d'un chiffrement réversible permet de prendre en charge les applications qui utilisent des protocoles nécessitant le mot de passe de l'utilisateur pour l'authentification. Il s'agit d'un problème car le chiffrement réversible est, en fait, réversible. Cela signifie qu'un attaquant qui brise ce cryptage peut compromettre le compte.

Détection

Examinez vos stratégies de groupe et déterminez si l'option Store Passcode Using Reversible Encryption est activée ou non.

Remédiation

La remédiation est assez simple : Il suffit de la désactiver. Cependant, avant de le faire, vous devez déterminer ce que l'action va briser. La remédiation a probablement été activée parce que certaines applications l'exigent. La compatibilité des applications est une dette technologique impayée qui concerne tout le monde. À moins que l'application ne puisse être réécrite, vous serez peut-être contraint d'atténuer les problèmes de sécurité qu'elle pourrait causer.

4. Accès anonyme à Active Directory

L'accès anonyme signifie que les utilisateurs non authentifiés peuvent lire et accéder aux données. Cet accès est désactivé par défaut, mais il peut être nécessaire dans certains cas légitimes. Avec cet accès, un utilisateur non autorisé peut lister de manière anonyme des noms de comptes et utiliser ces informations pour tenter de deviner des mots de passe ou effectuer des attaques par ingénierie sociale.

Détection

  • En utilisant ADSIEdit, vérifiez la liste suivante pour dSHeuristics défini comme 0000002 :
    • CN=Service d'annuaire
    • CN=Windows NT
    • CN=Services
    • CN=Configuration
    • DC=<my domain>
  • Déterminez si l'accès anonyme est activé (assigné à "NT Authority/Anonymous" sur le domaine ou le conteneur en utilisant Active Directory Users and Computers (ADUC).

Remédiation

  • Modifier la valeur de l'attribut de 0000002 à 1 ou 0.
  • Supprimer l'accès anonyme au domaine ou au conteneur.

5. Vulnérabilités de Zerologon

La vulnérabilité Zerologon est un exploit dans le protocole Active Directory netlogon (MS-NRPC) qui permet d'accéder aux serveurs qui utilisent NTLM. Cette attaque permet à un attaquant de se faire passer pour n'importe quel ordinateur du système, y compris le DC racine. La vulnérabilité permet également de désactiver des fonctions de sécurité dans le processus d'authentification netlogon. Utilisée par un attaquant compétent, elle peut également générer un Golden Ticket, qui permet à un attaquant de prendre le contrôle du compte KRBTGT.

Détection

La détection peut être difficile car les jetons Kerberos semblent légitimes. Les tickets TGT sont valides et signés par KRBTGT.

Remédiation

L'authentification NTLM est fonctionnelle dans le produit livré et activée par défaut. La désactivation de l'authentification NTLM peut perturber les applications. Déterminez quelles applications utilisent cet ancien protocole et remédiez-y. Désactivez ensuite NTLM et commencez à utiliser Kerberos dans votre domaine Active Directory.

6. Mots de passe des comptes de service n'expirant pas

Les comptes de service sont configurés avec des mots de passe qui n'expirent jamais. Les comptes de service dont les mots de passe sont standard et immuables sont plus facilement compromis. Il existe aujourd'hui de meilleures options de gestion des mots de passe pour permettre l'accès sans introduire ce niveau de risque.

Détection

Recherchez les comptes dont les mots de passe n'expirent pas afin de les identifier et de les traiter.

Remédiation

Mettez en œuvre la pratique consistant à remplacer vos comptes de services par des comptes de services gérés par le groupe. Vous n'avez pas besoin de connaître le mot de passe ; le système le gérera pour vous, et votre sécurité s'en trouvera améliorée.

7. Accès aux contrôleurs de domaine par des administrateurs autres que ceux du domaine

Les utilisateurs qui ne sont pas des administrateurs de domaine peuvent se connecter à distance à un DC via RDP ou PowerShell. Les attaquants peuvent se connecter à distance à un DC en utilisant PowerShell ou les services de bureau à distance.

Détection

Vérifiez l'attribution des droits d'utilisateur dans les paramètres de configuration.

Remédiation

Microsoft recommande les étapes suivantes pour remédier aux mauvaises configurations d'Active Directory de ce type :

  • Allez dans la section GPO Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits d'utilisateur.
  • Recherchez la stratégie Autoriser la connexion via les services de bureau à distance.
  • Une fois que le serveur est promu contrôleur de domaine, seul le groupe Administrateurs (Domain Admins) doit rester dans cette stratégie locale.

Protégez-vous des mauvaises configurations d'Active Directory

Une dernière remarque : si vous avez modifié un paramètre par défaut pour une raison précise, documentez ces changements. Cela vous sera utile si vous devez revenir aux paramètres par défaut et rétablir les autorisations valides. Documenter les modifications peut également aider d'autres personnes (y compris le prochain administrateur) à comprendre pourquoi des modifications ont été apportées et à évaluer si elles sont toujours nécessaires.

La plupart d'entre nous héritent d'implémentations d'Active Directory qui existent depuis un certain temps. Passer du temps à corriger ces erreurs de configuration courantes d'Active Directory et mettre en œuvre un processus de documentation solide peut contribuer grandement à protéger votre Active Directory contre les attaques. Il en va de même pour l'exécution d'une évaluation visant à détecter les vulnérabilités les plus couramment exploitées. En téléchargeant et en exécutant notre outil gratuit d'évaluation de la sécurité Purple Knight AD, vous obtiendrez une vision plus claire de ces problèmes et d'autres à mettre sur votre liste de tâches.