Comment se défendre contre une attaque de type "Overpass the Hash" ?

Dans le paysage en constante évolution des cybermenaces, l'attaque Overpass the Hash est un vecteur puissant. S'appuyant sur le protocole d'authentification NTLM, cette attaque permet aux adversaires de ne pas avoir besoin de mots de passe en clair. Au lieu de cela, une attaque de type Overpass the Hash utilise le hachage d'un utilisateur pour s'authentifier et potentiellement escalader les privilèges.

Alors que les entreprises sont confrontées aux défis de la sécurisation de leurs infrastructures Active Directory, la compréhension et la lutte contre ces types d'attaques sont devenues une priorité pour les experts et les administrateurs de la sécurité informatique.

Lecture connexe : Principales stratégies de renforcement d'Active Directory

Qu'est-ce qu'une attaque "Overpass the Hash" ?

L'attaque Overpass the Hash est une technique de post-exploitation dans laquelle un attaquant utilise un hachage NTLM capturé pour s'authentifier auprès d'un service ou d'un serveur au sein d'un domaine Active Directory. Contrairement aux attaques Pass the Hash traditionnelles, qui se poursuivent au cours de la même session d'authentification, les attaques Overpass the Hash impliquent l'utilisation du hachage volé pour créer une session entièrement authentifiée dans laquelle l'attaquant peut obtenir de nouveaux tickets Kerberos. Cette distinction subtile mais puissante permet à l'attaquant d'accéder aux ressources comme s'il disposait du mot de passe de l'utilisateur, ce qui lui évite d'avoir à l'obtenir par d'autres moyens.

Comment fonctionne l'attaque Overpass the Hash ?

L'attaque Overpass the Hash commence par l'acquisition par un attaquant du hachage NTLM d'un utilisateur. Ce hachage représente le mot de passe de l'utilisateur, traité par l'algorithme de hachage NTLM. Les attaquants obtiennent généralement le hachage en exploitant des vulnérabilités sur la machine de l'utilisateur ou par des tactiques d'ingénierie sociale.

Après avoir acquis le hachage NTLM, l'attaquant utilise un outil tel que Mimikatz pour injecter le hachage dans son propre contexte de sécurité. Cette étape lui permet d'utiliser les informations d'identification volées pour invoquer l'API Windows. Cette étape est critique. Toute tentative d'accès aux ressources en utilisant la machine compromise pourrait déclencher des alertes. Au lieu de cela, l'attaquant utilise le hachage pour s'authentifier à partir de son propre appareil ou d'une machine contrôlée au sein du réseau.

Ensuite, l'attaquant interagit avec le contrôleur de domaine Active Directory (DC), en présentant le hachage volé au cours du processus d'authentification NTLM. L'attaquant utilise le hachage comme un mot de passe. Le contrôleur de domaine, incapable de distinguer le hachage d'une connexion légitime, authentifie la session et émet un ticket Kerberos (TGT). Ce TGT, chiffré avec les clés secrètes du compte krbtgt du domaine, ne peut être déchiffré que par l'AD ; l'attaquant n'a pas besoin de déchiffrer le TGT.

Dans la phase finale, l'attaquant utilise le TGT obtenu pour demander des tickets de service au DC. Ces tickets permettent à l'attaquant d'accéder à divers services au sein du domaine. Ce processus, souvent appelé message Kerberos TGS-REQ, fait partie du protocole Kerberos standard utilisé pour accéder aux ressources d'un domaine Active Directory. Le DC, croyant que le TGT a été obtenu légitimement, renvoie des tickets de service que l'attaquant peut utiliser pour accéder à des ressources, s'authentifier auprès d'autres machines ou effectuer des actions sur le réseau, tout en se faisant passer pour l'utilisateur compromis.

Ce qui est particulièrement insidieux dans l'attaque Overpass the Hash, c'est la possibilité de demander des tickets de service pour des services ou des machines spécifiques au sein du domaine. L'attaque permet donc au pirate de cibler des actifs ou des référentiels de données de grande valeur. Les tickets de service peuvent avoir une durée de vie relativement longue et peuvent être renouvelés, ce qui fournit à l'attaquant un mécanisme persistant d'accès aux ressources jusqu'à ce que le mot de passe de l'utilisateur soit changé ou que l'attaque soit atténuée.

Quels sont les risques associés à une attaque de type Overpass the Hash ?

Le risque principal d'une attaque de type Overpass the Hash réside dans sa capacité à fournir aux attaquants un accès non autorisé aux ressources du réseau et aux données sensibles. Cette attaque facilite également les déplacements latéraux au sein du réseau et peut conduire à une escalade des privilèges si le compte compromis dispose de droits administratifs. Comme l'attaque s'appuie sur des mécanismes d'authentification légitimes, elle peut être difficile à détecter et fournir un accès persistant aux attaquants.

Comme c'est le cas pour plusieurs autres attaques, les environnements qui utilisent NTLM pour l'authentification sont sensibles aux attaques de type Overpass-the-Hash. Mais demandez à une cinquantaine d'administrateurs Active Directory s'ils ont éliminé l'authentification NTLM dans leur forêt Active Directory, et peut-être que l'un d'entre eux lèvera la main. L'utilisation de NTLM persiste pour plusieurs raisons :

• Rétrocompatibilité
• Soutien aux applications patrimoniales
• Un manque de sensibilisation ou de ressources pour passer à des protocoles plus sûrs

Par exemple, les applications anciennes qui n'ont pas été mises à jour pour utiliser des méthodes d'authentification modernes peuvent nécessiter NTLM. Certains périphériques de stockage connectés au réseau ou d'anciennes versions de services basés sur Windows utilisent par défaut NTLM. Et certaines configurations de Microsoft Internet Information Services (IIS), lorsqu'elles sont paramétrées pour utiliser l'authentification Windows, utilisent NTLM si le protocole Kerberos, plus sûr, n'est pas correctement configuré ou si les clients ne le prennent pas en charge. Les anciennes versions de SQL Server et d'autres services de base de données peuvent être configurées pour authentifier les utilisateurs avec NTLM, en particulier lors de connexions à partir de systèmes non reliés à un domaine ou dans un environnement de groupe de travail. Même l'utilisation de l'adresse IP d'une ressource au lieu de son nom d'hôte peut conduire le système à utiliser NTLM par défaut pour l'authentification.

En outre, les applications tierces, en particulier celles qui sont conçues pour une compatibilité multiplateforme, peuvent utiliser NTLM lors de l'interface avec les systèmes Windows. C'est souvent le cas de divers outils de collaboration et de gestion de documents qui doivent s'intégrer au partage de fichiers Windows ou à d'anciennes applications web. Dans certains cas, les appareils réseau tels que les concentrateurs ou les passerelles VPN, qui doivent authentifier les utilisateurs par rapport à Active Directory, peuvent utiliser NTLM s'ils ne sont pas entièrement intégrés à Kerberos.

Les produits, dispositifs, services ou applications qui reposent sur NTLM ne rendent pas intrinsèquement un environnement vulnérable aux attaques de type Overpass the Hash. Cependant, ils augmentent la surface d'attaque. La combinaison de l'utilisation continue de NTLM et de contrôles de sécurité insuffisants crée la vulnérabilité que les attaques de type Overpass the Hash exploitent. L'abandon de NTLM au profit de Kerberos ou l'utilisation de mesures de sécurité supplémentaires (telles que la signature SMB) peuvent réduire considérablement le risque.

Comment détecter une attaque de type Overpass the Hash ?

La détection d'une attaque de type Overpass the Hash implique la surveillance de modèles inhabituels d'authentification et de demandes de tickets dans l'environnement Active Directory. Les professionnels de la sécurité doivent configurer la journalisation et l'alerte pour les anomalies, y compris :

• Heures de connexion inhabituelles
• Connexions à partir de lieux atypiques
• Demandes de tickets de service qui ne suivent pas le comportement normal de l'utilisateur

Les systèmes avancés de gestion des informations et des événements de sécurité (SIEM) peuvent aider à corréler les événements et à identifier les attaques potentielles. Toutefois, certaines attaques très préjudiciables sont conçues pour échapper à la surveillance basée sur les événements et les journaux.

Les organisations doivent également surveiller l'utilisation d'une authentification NTLM inattendue ; les environnements modernes favorisent souvent Kerberos, ce qui fait ressortir l'utilisation de NTLM. Ce type d'attaque est l'un de ceux pour lesquels l'analyse du comportement de l'utilisateur fait vraiment la différence.

Comment atténuer les effets d'une attaque de type "Overpass the Hash" ?

L'atténuation d'une attaque de type Overpass the Hash nécessite une approche à plusieurs facettes.

• Minimiser l'utilisation de l'authentification NTLM et utiliser Kerberos à la place, dans la mesure du possible.
• Mettez en œuvre des politiques de mots de passe solides et évitez d'utiliser les mêmes mots de passe pour différents comptes afin de réduire l'impact du vol de hash.
• Segmenter le réseau pour empêcher les mouvements latéraux.
• Mettre en œuvre des politiques de verrouillage des comptes pour décourager les tentatives de force brute.
• Activez Credential Guard sur Windows 10 et Windows Server 2016 et versions ultérieures pour empêcher l'extraction de mots de passe en clair et de hachages NTLM de la mémoire.

En outre, les administrateurs d'Active Directory doivent prendre des mesures pour se protéger contre les attaques de type Overpass the Hash :

• Désactiver l'authentification NTLM sur les systèmes où elle n'est pas nécessaire et imposer l'utilisation de Kerberos.
• S'assurer que la solution de mot de passe de l'administrateur local (LAPS) est mise en œuvre pour gérer les mots de passe uniques de l'administrateur local.
• Configurer la stratégie de groupe pour empêcher le stockage des hachages NTLM et pour restreindre le trafic NTLM.
• Utiliser des stratégies d'audit et de surveillance avancées pour détecter l'utilisation anormale de NTLM et la présence d'outils Overpass the Hash.
• Former les utilisateurs à reconnaître les tentatives d'hameçonnage et à sécuriser leurs informations d'identification.
• Maintenir les systèmes patchés et mis à jour afin d'atténuer les vulnérabilités qui peuvent conduire au vol de données d'identification.

Se défendre contre les attaques visant à usurper l'identité d'un utilisateur

L'attaque Overpass the Hash constitue une menace importante pour les environnements Active Directory, car elle s'appuie sur le protocole NTLM pour usurper l'identité d'utilisateurs légitimes. En s'appuyant sur des valeurs de hachage volées, les attaquants peuvent obtenir un accès non autorisé, compromettant ainsi l'intégrité et la confidentialité des actifs de l'organisation. La vigilance et des mesures de défense proactives sont essentielles pour atténuer les risques associés à ce vecteur d'attaque.

Les cyber-attaquants continuant à faire évoluer leurs tactiques, il est devenu impératif de renforcer votre environnement Active Directory contre des attaques telles que Overpass the Hash. Les administrateurs peuvent contrecarrer ces attaques, en protégeant leurs systèmes contre les accès non autorisés et en maintenant la fiabilité de leurs mécanismes d'authentification, grâce à des mesures proactives :

• Planification stratégique
• Protocoles robustes de sécurité de l'identité
• Surveillance continue d'Active Directory

La protection des environnements Active Directory hybrides est un processus continu. Pour garder une longueur d'avance sur des menaces comme Overpass the Hash, il faut s'engager à appliquer les meilleures pratiques en matière de sécurité et à sensibiliser l'ensemble de l'organisation.