Daniel Petri

Active Directory (AD) est la pierre angulaire de la plupart des réseaux d'entreprise, fournissant une authentification centralisée, une autorisation et un contrôle d'accès à une myriade de ressources. Cependant, la complexité de la configuration d'AD fait souvent de ce service une cible de choix pour les acteurs malveillants qui cherchent à exploiter les faiblesses du dispositif de sécurité d'une organisation. Plusieurs configurations erronées (par exemple, l'utilisation abusive d'une fonctionnalité intégrée dans AD qui est responsable de certaines réplications AD) peuvent conduire à de telles vulnérabilités. En manipulant cette puissante fonctionnalité, les attaquants peuvent accéder à des données sensibles, en particulier à des hachages de mots de passe, qui sont stockés dans la base de données AD sur les contrôleurs de domaine (DC).

Qu'est-ce qu'une attaque DCSync ?

Une attaque DCSync est une méthode que des acteurs malveillants peuvent utiliser pour usurper l'identité d'un DC en s'appuyant sur le protocole distant Directory Replication Services (DRS) pour demander des données de mot de passe à un DC ciblé. De par sa conception, le protocole à distance DRS permet une synchronisation efficace des objets des services d'annuaire et de leurs attributs entre tous les centres de données d'une forêt AD. Cependant, les attaquants peuvent utiliser cette fonctionnalité pour obtenir un accès non autorisé aux informations d'identification des utilisateurs et potentiellement escalader leurs privilèges au sein du réseau.

Bien que cette fonctionnalité soit fondamentale pour la réplication correcte d'un environnement AD, seul un nombre limité de responsables de la sécurité devrait avoir les droits nécessaires pour effectuer ces actions. Malheureusement, des configurations erronées ou un manque de sensibilisation peuvent conduire à l'attribution de ces droits à des mandants de sécurité autres que ceux par défaut, créant ainsi un risque potentiel pour la sécurité.

Comment des droits de réplication AD incorrects peuvent-ils avoir un impact sur la sécurité ?

Par défaut, des droits spécifiques sont accordés par le biais des droits étendus « réplication des changements de répertoire » et « réplication de toutes les modifications de l'annuaire » dans AD. Ces droits permettent à un responsable de la sécurité de répliquer les objets de l'annuaire et leurs attributs, y compris les données de mot de passe sensibles, d'un DC à l'autre. Bien que ces droits soient nécessaires à des fins de réplication légitimes, des acteurs malveillants peuvent les exploiter pour effectuer des attaques DCSync, exfiltrant des hachages de mots de passe et d'autres informations sensibles du DC.

Les conséquences d'une telle attaque peuvent être graves. Les attaques DCSync peuvent permettre aux attaquants de se faire passer pour des utilisateurs légitimes, d'élever leurs privilèges et de se déplacer latéralement au sein du réseau. Dans le pire des cas, l'attaquant peut obtenir des privilèges d'administrateur de domaine et prendre le contrôle complet de l'infrastructure AD.

Quels outils les attaquants peuvent-ils utiliser pour monter une attaque DCSync ?

Plusieurs outils sont actuellement disponibles pour monter une attaque DCSync :

  • Mimikatz est un puissant outil de post-exploitation qui permet d'extraire de la mémoire des mots de passe en clair, des hachages et des tickets Kerberos. Cet outil comprend un module DCSync que les acteurs de la menace peuvent utiliser pour effectuer des attaques DCSync et extraire des hachages de mots de passe des DC.
  • Impacket est une collection de classes Python pour travailler avec des protocoles réseau. Cet outil comprend un script appelé secretsdump.py qui permet des attaques DCSync.
  • PowerShell Empire est un cadre de post-exploitation qui fournit une variété de modules pour les opérations de sécurité offensives. L'un de ces modules, Invoke-DCSync, permet de lancer des attaques DCSync.

Identification des principaux de sécurité par défaut ayant des droits de réplication incorrects

Par défaut, ces droits sont attribués à un nombre limité de responsables de la sécurité, qui sont généralement les suivants

  • Admins de domaine
  • Administrateurs d'entreprise
  • Administrateurs
  • Contrôleurs de domaine
  • Contrôleurs de domaine en lecture seule

Ces responsables de la sécurité sont généralement dignes de confiance et disposent des privilèges nécessaires pour effectuer des tâches de réplication d'annuaire au sein du domaine. Le risque survient lorsque des mandants de sécurité autres que ceux par défaut se voient accorder par inadvertance des droits de réplication, ce qui permet aux attaquants d'exploiter la fonctionnalité.

Recherchez les comptes auxquels les droits suivants ont été délégués :

  • Réplication des changements de répertoire (DS-Replication-Get-Changes)
  • Réplication de tous les changements de l'annuaire (DS-Replication-Get-Changes-All)
  • Réplication des modifications dans le jeu de filtre (DS-Replication-Get-Changes)

Déterminez si DCSync est utilisé pour héberger d'autres DC et si des comptes qui ne sont pas membres des groupes Admins de domaine ou Contrôleurs de domaine disposent de ces droits.

Techniques de découverte des mandants de sécurité qui ne sont pas par défaut et qui ont des droits de réplication

Pour identifier et gérer de manière proactive le risque associé à une attaque DCSync, il est essentiel de surveiller et d'auditer votre environnement AD pour repérer les responsables de la sécurité qui ne sont pas par défaut et qui possèdent ces droits. Vous pouvez utiliser plusieurs méthodes :

  • Utilisez les outils AD intégrés tels que ACL Diagnostics ou Ldp pour interroger les listes de contrôle d'accès (ACL) sur l'objet du domaine.
  • Utilisez des scripts PowerShell pour énumérer les principes de sécurité avec les droits DCSync.
  • Mettez en place des solutions d'audit spécialisées dans la détection des mauvaises configurations AD et des risques de sécurité, telles que Purple Knight.

Meilleures pratiques pour atténuer les risques liés à l'attaque de DCSync

Pour minimiser les risques associés à l'attaque de DCSync, envisagez de mettre en œuvre les meilleures pratiques suivantes :

  • Limitez le nombre de mandants de sécurité ayant des droits de réplication à ceux qui ont absolument besoin de ces droits.
  • Examinez et auditez régulièrement votre environnement AD afin d'identifier les responsables de la sécurité qui ne disposent pas de ces droits par défaut et supprimez toutes les autorisations inutiles.
  • Mettez en œuvre le principe du moindre privilège, en veillant à ce que les utilisateurs et les groupes n'aient que le niveau d'accès minimal nécessaire à l'accomplissement de leurs tâches.
  • Utilisez des mots de passe forts et uniques pour tous les comptes privilégiés afin de réduire le risque de compromission des informations d'identification.
  • Surveillez et enregistrez en permanence les événements de sécurité dans votre environnement AD afin de détecter les menaces potentielles et d'y répondre en temps voulu.

Formation et sensibilisation du personnel informatique et des équipes de sécurité

Il est essentiel d'informer le personnel informatique et les équipes de sécurité des risques potentiels associés à ces droits. En sensibilisant à cette attaque potentielle, vous améliorez la posture de sécurité de votre environnement AD. Organisez régulièrement des sessions de formation et des ateliers pour vous assurer que vos équipes sont au fait des meilleures pratiques en matière de sécurité, des renseignements sur les menaces et des stratégies de défense efficaces.

Se tenir au courant des dernières informations sur les menaces

Le paysage des menaces est en constante évolution. Il est essentiel de rester informé des dernières menaces et techniques d'attaque pour maintenir un environnement AD sécurisé. Abonnez-vous aux actualités du secteur, aux blogs sur la sécurité et aux flux de renseignements sur les menaces pour vous tenir au courant des menaces émergentes, des vulnérabilités et des meilleures pratiques. Partagez ces informations avec votre personnel informatique et vos équipes de sécurité pour vous assurer qu'ils restent vigilants et prêts à contrer les attaques potentielles de DCSync.

En résumé, la défense de votre environnement AD contre les attaques DCSync (ainsi que contre les autres menaces) nécessite une stratégie globale. Cela implique de mener des audits réguliers, d'adhérer aux meilleures pratiques, d'investir dans des initiatives de formation et de sensibilisation, et de se tenir au courant des informations les plus récentes sur les menaces. En répondant de manière proactive aux problèmes de sécurité, vous pouvez atténuer efficacement les risques associés aux droits DCSync et garantir la protection des ressources inestimables de votre organisation.

En savoir plus sur la sécurité AD