Les dix principales erreurs de configuration de la NSA en matière de cybersécurité : Une perspective Active Directory (partie 3)

Bienvenue dans le dernier épisode de cette série consacrée aux dix principales erreurs de configuration de la CISA et de la NSA en matière de cybersécurité dans le contexte des environnements Active Directory hybrides. Active Directory est le système d'identité de la plupart des organisations : une partie essentielle de votre infrastructure et une cible de choix pour les cyber-attaquants.

Cette semaine, j'aborderai les trois dernières configurations erronées de la liste CISA/NSA. Lisez la suite :

• Une explication rapide de la façon dont chaque vulnérabilité affecte les environnements d'identité Active Directory hybrides.
• Risques pour Active Directory et Entra ID
• Indicateurs d'exposition (IOE) et indicateurs de compromission (IOC) que Semperis Directory Services Protector et Purple Knight utilisent pour vous alerter de l'existence de la vulnérabilité ou des tentatives d'exploitation de celle-ci

Lire la série depuis le début : Les dix principales erreurs de configuration de la NSA en matière de cybersécurité + Sécurité AD (Partie 1)

8. Listes de contrôle d'accès insuffisamment configurées sur les partages et les services du réseau

Du point de vue de la sécurité d'Active Directory, une mauvaise configuration de la liste de contrôle d'accès (ACL) signifie généralement que les autorisations sont soit trop permissives, soit mal attribuées. Des listes de contrôle d'accès trop permissives peuvent permettre à des utilisateurs non autorisés d'accéder à des données, de les modifier ou de les supprimer. Des attributions incorrectes peuvent accorder aux utilisateurs des droits d'accès qui ne sont pas nécessaires pour leur rôle ou leur fonction. L'un ou l'autre de ces problèmes peut résulter de l'un des éléments suivants :

• Un manque de compréhension du principe du moindre privilège
• Une mauvaise interprétation des conditions d'accès
• Un contrôle simple dans la tâche complexe de la gestion des droits d'accès

Risques liés à la sécurité de l'identité

La principale vulnérabilité liée à une mauvaise configuration des listes de contrôle d'accès concerne les partages de réseau et les services que les listes de contrôle d'accès protègent. Cependant, l'impact potentiel s'étend à l'ensemble de l'organisation. Un contrôle d'accès inapproprié peut entraîner

• Violations de données
• - Manipulation non autorisée des données
• - Perturbation des services

Dans le contexte d'Active Directory et d'Entra ID, les ACL jouent un rôle critique dans la sécurisation de l'infrastructure d'authentification et d'autorisation. Les risques sont amplifiés en raison du rôle central des services.

Indicateurs d'exposition et indicateurs de compromission

Dans Purple Knight et Directory Services Protector, les indicateurs suivants peuvent vous alerter sur l'insuffisance des ACL :

• Autorisations non standard pour les schémas. Par défaut, les autorisations de modification du schéma sont limitées aux administrateurs du schéma. Ces autorisations permettent au principal de confiance d'exercer un contrôle total sur Active Directory.
• Modifications de la délégation à la tête de Domain NC. Des modifications de la délégation à cet objet spécial pourraient permettre à des utilisateurs non privilégiés de synchroniser la base de données Active Directory en vue d'un craquage hors ligne (c'est-à-dire une attaque DCSync).
• Principaux non-défauts avec des droits DC Sync sur le domaine. Les mandants de sécurité disposant de ces droits sur l'objet contexte de nommage du domaine peuvent potentiellement récupérer des hachages de mots de passe pour les utilisateurs d'un domaine Active Directory (c.-à-d. une attaque DCSync).
• Modifications des autorisations sur l'objet AdminSDHolder. Cet indicateur de sécurité peut signaler une tentative de modification des autorisations sur des objets privilégiés soumis à AdminSDHolder.
• Accès en écriture à RBCD sur le compte krbtgt. Les attaquants qui obtiennent un accès en écriture à la délégation contrainte basée sur le rôle (RBCD) pour une ressource peuvent faire en sorte que la ressource se fasse passer pour n'importe quel utilisateur.
• L'enregistrement d'une application Azure est autorisé en lecture/écriture. Une application malveillante ou mal configurée peut entraîner l'exposition de données ou la compromission d'un locataire Azure.
• Vérifier si des autorisations API risquées ont été accordées aux mandants des services d'application. Un administrateur d'application malveillant pourrait utiliser ces autorisations pour s'octroyer ou octroyer à d'autres personnes des privilèges administratifs.
• Les utilisateurs non-administrateurs peuvent enregistrer des applications personnalisées dans Entra ID. Si les utilisateurs non administrateurs sont autorisés à enregistrer des applications d'entreprise développées sur mesure, les attaquants pourraient utiliser cette faille pour enregistrer des applications malveillantes. Les attaquants pourraient alors utiliser ces applications pour obtenir des autorisations supplémentaires.
• Défauts de sécurité non activés dans Entra ID. Les paramètres de sécurité par défaut exigent une authentification multifactorielle (MFA), bloquent l'authentification traditionnelle et exigent une authentification supplémentaire lors de l'accès au portail Azure, à Azure PowerShell et à Azure CLI.
• Les utilisateurs privilégiés de l'AAD qui sont également privilégiés dans l'AD. La compromission d'un compte privilégié à la fois dans Active Directory et Entra ID (anciennement Azure AD ou AAD) peut conduire à la compromission des deux environnements.
• Utilisateurs privilégiés AD synchronisés avec AAD. Lorsqu'un utilisateur privilégié d'Active Directory est synchronisé avec Entra ID (anciennement AAD), une compromission de l'utilisateur d'Entra ID peut entraîner une compromission de l'environnement sur place.

9. Mauvaise hygiène des titres

Une mauvaise hygiène en matière d'informations d'identification peut impliquer

• Utilisation de mots de passe faibles
• Réutilisation des mots de passe sur plusieurs comptes
• Partage des informations d'identification entre les utilisateurs
• Ne pas modifier les noms d'utilisateur et les mots de passe par défaut
• Ne pas mettre à jour régulièrement les informations d'identification
• Ne pas utiliser l'AMF
• Stockage inadéquat des informations d'identification (par exemple, les écrire sur papier, les stocker dans des fichiers numériques non protégés, utiliser des outils de gestion de mots de passe non sécurisés).

Risques liés à la sécurité de l'identité

Une mauvaise hygiène des informations d'identification peut mettre en danger l'ensemble de l'écosystème de votre réseau. Les risques sont particulièrement graves dans les environnements qui utilisent Active Directory pour la gestion des ressources réseau et Entra ID pour les services en nuage.

Dans le contexte d'un Active Directory, une mauvaise hygiène des informations d'identification peut conduire à.. :

• Accès non autorisé au domaine
• Mouvements latéraux au sein du réseau
• L'escalade des privilèges

En bref, ce type de mauvaise configuration peut permettre à des pirates d'obtenir un accès permanent à vos systèmes et de compromettre des données sensibles.

Indicateurs d'exposition et indicateurs de compromission

Dans Purple Knight et Directory Services Protector, les indicateurs suivants peuvent vous alerter sur une mauvaise hygiène des informations d'identification :

• Les administrateurs (ou tout autre utilisateur) dont les mots de passe sont anciens. Si les mots de passe des comptes d'administration ne sont pas modifiés régulièrement, les comptes peuvent être la cible d'attaques par devinette de mot de passe.
• Compte d'administrateur de domaine intégré avec un ancien mot de passe. Si ce mot de passe n'est pas modifié régulièrement, le compte peut être vulnérable aux attaques par force brute.
• Compte Kerberos krbtgt avec un ancien mot de passe. Si le mot de passe du compte krbtgt est compromis, les acteurs de la menace peuvent effectuer des attaques de type Golden Ticket pour obtenir l'accès à n'importe quelle ressource dans un domaine Active Directory.
• Les comptes privilégiés (ou tout autre utilisateur) dont le mot de passe n'expire jamais. Les comptes d'utilisateurs dont les mots de passe n'expirent jamais sont des cibles idéales pour la recherche de mots de passe par force brute. Les comptes qui sont également des comptes administratifs ou privilégiés sont une cible encore plus importante.
• Utilisateurs privilégiés dont la politique en matière de mots de passe est faible. Les mots de passe faibles sont plus faciles à déchiffrer par des attaques par force brute et donnent aux attaquants la possibilité de se déplacer latéralement ou d'élever leurs privilèges. Le risque est encore plus grand pour les comptes privilégiés. Lorsqu'ils sont compromis, ces comptes augmentent les chances d'un attaquant de progresser rapidement au sein de votre réseau.
• Les comptes d'utilisateurs qui stockent les mots de passe avec un cryptage réversible. Les attaquants pourraient être en mesure de dériver ces mots de passe à partir du texte chiffré et de prendre le contrôle des comptes.
• Les comptes d'utilisateurs qui utilisent le chiffrement DES. Les attaquants peuvent facilement déchiffrer les mots de passe DES à l'aide d'outils largement disponibles, ce qui rend ces comptes propices à une prise de contrôle.
• La protection par mot de passe interdit personnalisé n'est pas utilisée dans Entra ID. Les organisations qui n'utilisent pas la protection par mot de passe interdit sont plus susceptibles de subir des attaques par devinette de mot de passe.

10. Exécution de code sans restriction

L'exécution de code sans restriction peut résulter de diverses configurations erronées, notamment

• Autorisations trop permissives pour les utilisateurs
• Absence de liste blanche des applications,
• Fonctions de sécurité désactivées ou mal configurées
• Utilisation inadéquate des techniques de "sandboxing

Risques liés à la sécurité de l'identité

Les systèmes présentant des vulnérabilités au niveau de l'exécution de code sans restriction risquent de faire l'objet d'activités non autorisées de la part d'attaquants externes et de menaces internes. Dans les environnements Active Directory, l'exécution de code sans restriction peut permettre à un attaquant d'élever ses privilèges ou d'effectuer des mouvements latéraux au sein du réseau. Dans Entra ID, ce type de mauvaise configuration peut permettre l'exécution d'un code malveillant qui peut compromettre les services et les données du nuage.

Indicateurs d'exposition et indicateurs de compromission

Les modifications malveillantes qui tirent parti de ces vulnérabilités dans Active Directory contournent le journal des événements de sécurité et ne peuvent pas être repérées à l'aide d'outils de surveillance standard. Pour limiter ces risques, les entreprises devraient utiliser des outils de détection et de réponse aux menaces identitaires (ITDR). Par exemple, DSP et PK peuvent analyser Active Directory et Entra ID à la recherche de preuves d'une attaque Mimikatz DCShadow.

Renforcez vos défenses d'identité

Cette liste des dix principales erreurs de configuration en matière de cybersécurité de la CISA et de la NSA pose d'importants problèmes de sécurité, en particulier dans les environnements Microsoft Windows et Active Directory. Toutefois, ces vulnérabilités ne se limitent pas à ces environnements. Elles indiquent plutôt des problèmes potentiels dans une variété de configurations de réseaux.

Semperis souligne que les outils de sécurité tels que DSP-I et PK peuvent détecter les risques potentiels de sécurité et les compromissions, offrant ainsi un moyen de surveiller et de rectifier les changements dans l'infrastructure AD.

La mise en œuvre de mesures de cybersécurité solides, des audits réguliers et l'adoption d'une approche proactive de la gestion de la configuration du réseau peuvent contribuer à atténuer ces risques. En outre, des outils robustes de détection et de réponse aux menaces liées à l'identité (ITDR) tels que Directory Services Protector et Purple Knight-dont le téléchargement et l'utilisation sont gratuits, peuvent aider les défenseurs du réseau à prévenir ou à atténuer l'exploitation par des acteurs malveillants. Une défense renforcée et une surveillance régulière (ou mieux encore, continue) de votre environnement Active Directory hybride constituent le meilleur moyen d'empêcher ces erreurs de configuration courantes mais critiques de faire le bonheur des cyberattaquants et de ruiner le vôtre.

Articles précédents de cette série

• Les dix principales erreurs de configuration de la NSA en matière de cybersécurité : Une perspective Active Directory, partie 1
• Les dix principales erreurs de configuration de la NSA en matière de cybersécurité : Une perspective Active Directory, partie 2