Les dix principales erreurs de configuration de la NSA en matière de cybersécurité : Une perspective Active Directory (Partie 2)

En matière de cybersécurité, et plus particulièrement de sécurité des infrastructures d'identité critiques, l'attente minimale de chaque organisation devrait être de combler les vulnérabilités connues et les lacunes de configuration. Bienvenue dans la deuxième partie de notre discussion en trois parties sur la façon dont la liste des dix principales erreurs de configuration en matière de cybersécurité de la CISA et de la NSA s'applique aux environnements Active Directory hybrides et sur la façon dont vous pouvez remédier à ces problèmes au sein de votre propre organisation.

A lire également : Les dix principales erreurs de configuration de la NSA en matière de cybersécurité + la sécurité AD (partie 1 de 3)

À propos de cette série

La première partie de cette série traite des trois premiers points de la liste des dix principales erreurs de configuration en matière de cybersécurité établie par la CISA et la NSA. Ce billet traite des quatre points suivants. Je terminerai la liste la semaine prochaine, dans la partie 3.

Récapitulons : Active Directory est le système d'identité de base de la plupart des organisations, quel que soit leur secteur d'activité. Dans cette série, je fournis :

• Une explication rapide de chaque vulnérabilité dans le cadre d'un environnement d'identité Active Directory hybride.
• Risques associés
• Indicateurs d'exposition (IOE) et indicateurs de compromission (IOC) dans Semperis Directory Services Protector et l'outil communautaire gratuit Purple Knight qui peut vous alerter sur la vulnérabilité ou les tentatives potentielles d'exploitation.

Plongeons dans le vif du sujet.

4. Absence de segmentation du réseau

La segmentation du réseau consiste à diviser un réseau en plusieurs sous-réseaux afin de minimiser le nombre d'hôtes pouvant interagir directement les uns avec les autres. Sans une segmentation adéquate, le réseau d'une organisation est essentiellement plat. Lorsqu'un pirate accède à une partie du réseau, il peut potentiellement accéder à toutes les autres parties sans rencontrer de barrières internes.

Risques liés à la sécurité de l'identité

L'absence de segmentation ne permet pas de contenir les failles de sécurité et peut permettre à des acteurs malveillants de se déplacer latéralement et rapidement. Dans un réseau plat, tous les systèmes sont plus facilement accessibles à partir de n'importe quel point d'entrée, ce qui augmente l'impact potentiel d'une compromission. Les systèmes critiques, tels que les bases de données sensibles et les serveurs qui hébergent Active Directory, sont beaucoup plus vulnérables aux cybermenaces car les défenses internes sont minimales.

Sans segmentation, les cybermenaces telles que les ransomwares peuvent se propager plus rapidement dans le réseau de votre entreprise. Active Directory est particulièrement menacé car il constitue une cible de choix pour les attaquants qui souhaitent élever leurs privilèges et prendre le contrôle administratif des ressources du réseau.

Lutter contre le risque lié à l'identité

Dans le domaine de la cybersécurité, l'accent mis sur la segmentation va au-delà du réseau. La segmentation englobe également l'identité.

La segmentation de la confiance dépasse la dépendance traditionnelle (et insuffisante) à l'égard de la forêt Active Directory en tant que seule limite de confiance. Elle nécessite au contraire un niveau de contrôle granulaire, connu sous le nom de micro-segmentation, qui s'aligne sur le cadre de la confiance zéro. L'accès aux ressources devrait dépendre d'une évaluation de la fiabilité à plusieurs niveaux.

Pour un dispositif de sécurité solide, la prise de décision doit s'appuyer sur une analyse complète de différents points de données. Des outils comme Forest Druid permettent aux administrateurs de préciser la position de chaque identité par rapport aux actifs de niveau 0, fournissant ainsi les informations détaillées dont vous avez besoin pour prendre des décisions éclairées en matière de sécurité. Ces outils facilitent l'exportation des objets de niveau 0 dans les systèmes d'authentification, permettant ainsi la mise en œuvre de mesures de protection supplémentaires, telles que l'authentification à deux facteurs (2FA), ou l'activation de fonctions d'audit avancées, renforçant ainsi votre sécurité globale.

5. Mauvaise gestion des correctifs

Par définition, une mauvaise gestion des correctifs se réfère à l'absence de processus systématique pour identifier, acquérir, tester et installer les mises à jour et les correctifs des logiciels de manière opportune et fiable. Cette négligence peut conduire à l'utilisation de systèmes obsolètes au sein du réseau. Ces systèmes peuvent présenter des vulnérabilités connues. Pour les environnements complexes, y compris ceux qui utilisent à la fois Active Directory et Entra ID, la gestion des correctifs est cruciale étant donné le rôle intégral que ces services jouent dans la sécurité du réseau et la gestion de l'identité.

Risques liés à la sécurité de l'identité

Tout système ou application qui n'est pas corrigé régulièrement est une cible potentielle d'exploitation. Les enjeux sont encore plus importants pour les services d'annuaire. Active Directory, l'autorité centrale pour l'authentification et l'application des politiques dans la plupart des environnements Windows, est particulièrement exposée. Si un contrôleur de domaine Active Directory est compromis en raison d'une vulnérabilité non corrigée, c'est tout le domaine - voire toute la forêt - qui est menacé.

Les conséquences potentielles d'une mauvaise gestion des correctifs sont considérables et peuvent inclure

• Violations de données
• Infections par des logiciels malveillants
• Attaques par ransomware
• Perte de service

Indicateurs d'exposition et indicateurs de compromission

Dans les sites Purple Knight et Directory Services Protector, les indicateurs suivants peuvent vous alerter sur des problèmes de gestion des correctifs :

• Les administrateurs de la clé d'entreprise ayant un accès complet au domaine. Ce problème a été corrigé dans une version de Windows 2016. Cependant, si le correctif n'a pas été appliqué, les membres de ce groupe peuvent répliquer toutes les modifications depuis Active Directory, comme on le voit dans les attaques DCSync.
• Ordinateurs équipés d'anciennes versions du système d'exploitation. Les ordinateurs utilisant des versions plus anciennes et non prises en charge du système d'exploitation peuvent être la cible d'exploits connus ou non corrigés.
• SMBv1 est activé sur les contrôleurs de domaine. SMBv1 est un ancien protocole (supprimé par Microsoft en 2014), considéré comme peu sûr et susceptible de subir toutes sortes d'attaques.
• La signature SMB n'est pas requise sur les contrôleurs de domaine. Le trafic réseau non signé est susceptible de faire l'objet d'attaques qui abusent du protocole NTLM challenge-response.
• Vulnérabilité de Zerologon. Sans ce correctif, un attaquant non authentifié peut exploiter la CVE-2020-1472 pour élever ses privilèges et obtenir un accès administratif au domaine.
• Comptes informatiques exploitant des CVE spécifiques. Une alerte sur ces indicateurs peut signifier qu'un attaquant a exploité la vulnérabilité spécifiée pour escalader les privilèges d'un contrôleur de domaine.

6. Contournement des contrôles d'accès au système

Un contournement des contrôles d'accès au système se produit généralement lorsque les mécanismes de sécurité sont mal configurés ou lorsque des failles dans la conception du système sont exploitées. Les acteurs de la menace peuvent utiliser un tel contournement pour obtenir un accès non autorisé aux systèmes ou aux données. Cette mauvaise configuration ou cet exploit peut avoir plusieurs origines :

• Paramètres par défaut non sécurisés
• Processus d'authentification défectueux
• Listes de contrôle d'accès (ACL) inefficaces
• L'exploitation des vulnérabilités du système

Risques liés à la sécurité de l'identité

Les systèmes dont les contrôles d'accès sont mal appliqués sont intrinsèquement vulnérables aux utilisations non autorisées. Cette question est particulièrement pertinente pour les systèmes de gestion des identités et des accès tels que Active Directory et Entra ID.

Ces systèmes, qui sont au cœur de l'infrastructure de sécurité, gèrent les identités des utilisateurs et contrôlent l'accès aux ressources du réseau. Si un pirate parvient à contourner ces contrôles, il peut obtenir le même niveau d'accès aux ressources que les utilisateurs légitimes, ou pire encore, escalader ses privilèges.

Si le contournement n'est pas détecté, il peut potentiellement permettre à un attaquant d'avoir un accès persistant. Dans ce cas, le pirate continue d'exploiter les vulnérabilités du système et d'accéder à des données sensibles pendant une période prolongée. La persistance met non seulement en péril l'intégrité, la confidentialité et la disponibilité de vos systèmes, mais elle peut également mettre votre organisation en infraction avec les exigences de conformité.

Le contournement des contrôles d'accès au système englobe les activités qui s'écartent des procédures opérationnelles standard. Prenons l'exemple d'un adversaire qui compromet un contrôleur de domaine par une interaction physique directe avec le système. Cette violation peut exposer des composants sensibles, tels que le disque système et les sauvegardes Active Directory, à un accès non autorisé. Un mot de passe de mode de restauration des services d'annuaire (DSRM) mal sécurisé présente une vulnérabilité importante dans cette situation. L'attaquant pourrait perturber les services, introduire des charges utiles malveillantes dans la base de données Active Directory et exécuter un redémarrage du système pour mettre en œuvre ces changements.

Lutter contre le risque lié à l'identité

L'intégration des systèmes critiques à une solution de surveillance complète peut offrir une visibilité sur les activités non autorisées. Une surveillance régulière (ou mieux encore, continue) d'Active Directory peut vous aider à détecter rapidement les incidents liés à la sécurité des identités et à y répondre.

7. Méthodes d'AMF faibles ou mal configurées

Une authentification multifactorielle (AMF) faible ou mal configurée peut se produire de différentes manières :

• Autoriser les options de repli non sécurisées
• Ne pas appliquer l'AMF à tous les comptes d'utilisateurs
• Utiliser les paramètres par défaut sans adapter la configuration aux besoins de votre organisation
• Absence de mise à jour du logiciel d'AMF

Les attaquants peuvent exploiter ces lacunes pour contourner la couche de sécurité supplémentaire que l'AMF a été conçue pour fournir.

Tout compte d'utilisateur, application ou système dont la sécurité repose sur l'AMF peut être compromis si l'AMF n'est pas configurée de manière robuste. Le risque est accru pour les comptes administratifs, en particulier dans les environnements Active Directory ou Entra ID. Ces comptes disposent de privilèges élevés qui peuvent être exploités pour causer des dommages importants au sein de l'infrastructure informatique de l'organisation.

Risques liés à la sécurité de l'identité

L'utilisation abusive de l'AMF peut réduire la confiance des utilisateurs dans la sécurité du système, ce qui peut conduire à des comportements risqués ou à la non-conformité avec les politiques de sécurité. En outre, si l'AMF n'est pas jugée fiable, votre organisation risque de faire l'objet d'une surveillance réglementaire et d'une atteinte à sa réputation, en particulier si une violation se produit à la suite d'une mauvaise configuration.

Indicateurs d'exposition et indicateurs de compromission

Dans Purple Knight et Directory Services Protector, les indicateurs suivants peuvent vous alerter sur des problèmes liés à l'AMF :

• MFA non configuré pour les comptes privilégiés dans Entra ID. Les comptes avec un accès privilégié sont des cibles plus vulnérables pour les attaquants. La compromission d'un utilisateur privilégié représente un risque important et nécessite une protection supplémentaire.
• Vérifier si les utilisateurs ont un MFA faible ou inexistant dans Entra ID. Un utilisateur malintentionné peut faire appel à des codes vish ou smish (formes d'attaques d'ingénierie sociale) et tromper les utilisateurs pour qu'ils fournissent une authentification.
• Vérifier si l'authentification ancienne est autorisée dans Entra ID. Autoriser l'authentification ancienne augmente le risque qu'un attaquant se connecte en utilisant des informations d'identification compromises précédemment.
• La politique d'accès conditionnel n'exige pas de MFA pour les comptes à privilèges. Le fait d'exiger l'AMF sur les comptes à privilèges renforce la sécurité du locataire et garantit que les comptes à privilèges s'identifient en devant fournir plus qu'un nom d'utilisateur et un mot de passe.
• Politique d'accès conditionnel qui n'exige pas l'AMF lorsque le risque d'ouverture de session a été identifié. Un risque d'ouverture de session moyen ou élevé représente une probabilité moyenne à élevée qu'une demande d'authentification non autorisée ait été faite.
• La correspondance des numéros est activée dans l'AFM d'Entra ID. Lorsque la correspondance des numéros est activée dans l'AMF, les utilisateurs sont sujets à des attaques de fatigue de l'AMF.

Détecter les erreurs de configuration d'Active Directory et d'Entra ID

La semaine prochaine, j'aborderai les implications sur Active Directory des trois derniers points de la liste des dix principales erreurs de configuration de la CISA et de la NSA en matière de cybersécurité. Pour l'instant, vous pouvez télécharger nos outils communautaires gratuits, Purple Knight et Forest Druidet prendre un bon départ dans la détection de ces mauvaises configurations dans votre environnement Active Directory.

Autres articles de cette série

• Les dix principales erreurs de configuration de la NSA en matière de cybersécurité : Une perspective Active Directory, partie 1
• Les dix principales erreurs de configuration de la NSA en matière de cybersécurité : Une perspective Active Directory, partie 3