Daniel Petri

À la fin de l'année dernière, la National Security Agency (NSA) et la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis ont publié une liste des vulnérabilités les plus courantes dans les grands réseaux informatiques. Cette liste des dix principales erreurs de configuration de la CISA et de la NSA en matière de cybersécurité révèle des faiblesses systémiques, en particulier dans les environnements Microsoft Windows et Microsoft Active Directory (mais pas seulement).

Analysez votre environnement Active Directory hybride : Télécharger Purple Knight

Que votre environnement repose sur Active Directory seul ou en combinaison avec d'autres systèmes d'identité, comme Entra ID ou Okta, la résolution de ces vulnérabilités doit être une priorité absolue.

Quelle est la liste des dix principales erreurs de configuration en matière de cybersécurité établie par la CISA et la NSA ?

Basée sur les évaluations des équipes rouges et bleues menées par les équipes DNO (Defensive Network Operations) de la NSA et les équipes VM (Vulnerability Management) et Hunt (Hunt and Incident Response) de la CISA, la liste des dix principales erreurs de configuration en matière de cybersécurité de la CISA et de la NSA couvre à la fois le secteur public et le secteur privé. L'avis aborde également les tactiques, techniques et procédures (TTP) que les acteurs malveillants déploient pour exploiter les vulnérabilités détaillées. Il est conseillé aux propriétaires et aux opérateurs de réseaux, quel que soit leur environnement logiciel spécifique, d'examiner rigoureusement leurs systèmes pour détecter ces erreurs de configuration.

Pourquoi se concentrer sur Active Directory ?

Toutes les questions figurant sur la liste CISA/NSA n'impliquent pas directement Active Directory, mais c'est le cas de beaucoup d'entre elles. Le dernier rapport de Microsoft sur la défense numérique (MDDR, 2023) confirme qu'il est urgent de s'occuper de la sécurité d'Active Directory.

Le MDDR note que près de la moitié des clients impliqués dans la réponse aux incidents de Microsoft ont des configurations Active Directory non sécurisées. En outre, le rapport indique que

Les lacunes les plus fréquentes que nous avons constatées au cours des missions de réponse réactive aux incidents sont les suivantes :

  • Absence de protection adéquate des comptes administratifs locaux.
  • Une barrière de sécurité brisée entre l'administration sur site et l'administration en nuage.
  • Manque d'adhésion au modèle du moindre privilège.
  • Protocoles d'authentification anciens.
  • Configurations Active Directory non sécurisées.

Ces lacunes permettent aux attaquants d'adopter des tactiques allant de l'accès initial au mouvement latéral et à la persistance.

Rapport de Microsoft sur la défense numérique 2023

Active Directory est le système d'identité central de la plupart des organisations actuelles, qu'elles soient publiques ou privées. Ce service d'annuaire est au cœur de la gestion des identités et des accès. L'ancienneté de ce service - développé il y a plusieurs dizaines d'années - et son rôle essentiel dans la gestion des accès dans l'ensemble de l'environnement en font une cible privilégiée pour les cyberattaques. Les environnements Active Directory hybrides (ceux qui utilisent Active Directory plus Entra ID ou un autre système d'identité) augmentent la surface d'attaque et peuvent compliquer les efforts de sécurité.

Comment résoudre les problèmes de configuration d'Active Directory ?

Chez Semperis, notre équipe de recherche tient à jour une bibliothèque d'indicateurs de sécurité pour vous aider à évaluer votre posture de sécurité, à fermer les voies d'attaque et à repérer les comportements néfastes. Les indicateurs d'exposition (IOE) signalent les vulnérabilités que les cyberattaquants peuvent exploiter (et exploitent souvent). Les indicateurs de compromission (IOC) vous alertent sur les schémas associés à des comportements suspects, qui sont souvent le signe d'une brèche, de comptes à porte dérobée et d'autres menaces actives.

Nos outils d'audit Active Directory, Directory Services Protector et l'outil communautaire gratuit Purple Knight , utilisent ces indicateurs lors de l'analyse de votre infrastructure Active Directory. Les résultats fournissent une image complète de la posture de sécurité de votre Active Directory, avec des conseils prioritaires sur l'atténuation des problèmes identifiés ou, dans le cas de Directory Services Protector, des options de remédiation automatisées.

Semperis a passé en revue les dix principales erreurs de configuration en matière de cybersécurité de la CISA et de la NSA du point de vue de l'Active Directory. Ce billet, le premier d'une série de trois, vous donnera :

  • Une explication rapide de chaque vulnérabilité dans le cadre d'un environnement d'identité Active Directory hybride.
  • Risques associés en matière de sécurité de l'identité
  • Indicateurs à surveiller sur Purple Knight ou Directory Services Protector

Je couvrirai les trois premiers points dans ce billet, puis j'aborderai les autres configurations erronées dans les deux prochaines parties de la série.

1. Configurations par défaut des logiciels et des applications

Les paramètres prêts à l'emploi peuvent constituer un problème de sécurité important. Cela s'explique principalement par le fait qu'ils sont bien connus et souvent insuffisamment sécurisés pour les environnements de production.

Les paramètres par défaut sont généralement conçus pour faciliter le déploiement et l'expérience de l'utilisateur plutôt que pour assurer la sécurité. Ils peuvent inclure

  • Mots de passe simples
  • Ports ouverts inutiles
  • Activation des comptes d'invités
  • Permissions excessives

Ces lacunes sont particulièrement dangereuses lorsqu'il s'agit d'infrastructures de réseau et d'applications critiques telles que Active Directory et Entra ID.

Risques liés à la sécurité de l'identité

Active Directory est le référentiel de toutes les ressources du réseau, y compris les comptes d'utilisateurs, les stratégies de groupe et les contrôles d'accès. S'il est compromis, il peut fournir à un pirate les "clés du royaume". Entra ID, qui étend ces fonctionnalités aux ressources en nuage, peut également être une cible lucrative. Si l'un ou l'autre des services d'annuaire est compromis, les effets peuvent être catastrophiques, entraînant des violations de données et l'accès non autorisé à des ressources sensibles.

L'utilisation de configurations par défaut peut entraîner plusieurs risques pour la sécurité, notamment

  • Accès non autorisé
  • L'escalade des privilèges
  • Mouvement latéral au sein du réseau
  • Exfiltration de données

Dans le contexte d'Active Directory, un pirate peut exploiter les paramètres par défaut pour prendre pied en compromettant des informations d'identification par défaut faibles.

Indicateurs d'exposition et indicateurs de compromission

Dans Purple Knight et Directory Services Protector, les indicateurs suivants peuvent vous alerter sur l'existence ou l'exploitation de configurations par défaut :

  • Le service Print Spooler est activé sur un DC. Plusieurs failles critiques ont été découvertes dans les services Windows Print Spooler. Ces failles affectent directement les spoolers d'impression installés sur les contrôleurs de domaine, permettant l'exécution de code à distance.
  • Les utilisateurs non privilégiés peuvent ajouter des comptes d'ordinateur au domaine. Les attaques basées sur Kerberos peuvent abuser de cette capacité.
  • Accès anonyme à Active Directory activé. L'accès anonyme peut permettre à des utilisateurs non authentifiés d'interroger Active Directory.
  • Réplication NTFRS SYSVOL. NTFRS est un ancien protocole qui a été remplacé par DFSR. Les attaquants peuvent manipuler les vulnérabilités NTFRS pour compromettre SYSVOL et éventuellement modifier les GPO et les scripts de connexion pour propager des logiciels malveillants et se déplacer latéralement dans l'environnement.
  • Configuration DNS non sécurisée. Les attaquants peuvent tirer parti de ce type de configuration pour ajouter un nouvel enregistrement DSN ou remplacer un enregistrement DNS existant afin d'usurper une interface de gestion. Ils peuvent alors attendre les connexions entrantes et voler les informations d'identification.
  • Les utilisateurs non-administrateurs peuvent créer des locataires dans Entra ID. Les locataires mal configurés qui sont liés aux utilisateurs du locataire parent (organisation) sont plus faciles à compromettre. Ces locataires ne sont pas correctement surveillés ou sécurisés.

2. Séparation inadéquate des privilèges de l'utilisateur et de l'administrateur

La séparation inadéquate des privilèges est un problème omniprésent dans de nombreux environnements informatiques. Cette pratique conduit souvent à accorder des droits administratifs à des utilisateurs qui n'en ont pas besoin pour leurs tâches quotidiennes, ce qui constitue une violation du principe du moindre privilège.

Les utilisateurs se voient généralement accorder des privilèges administratifs en étant placés dans des groupes privilégiés (comme les administrateurs de domaine dans Active Directory) ou en se voyant accorder un accès d'administrateur local sur leur poste de travail. Les coupables sont variés :

  • Modèles d'accès traditionnels
  • Commodité
  • Contrôles d'accès insuffisants
  • Surveillance

Le problème est exacerbé par l'octroi de privilèges permanents plutôt que par l'octroi de privilèges conditionnels, en fonction des besoins.

Risques liés à la sécurité de l'identité

Cette mauvaise configuration rend l'ensemble du réseau vulnérable. Les utilisateurs disposant de privilèges administratifs peuvent apporter de vastes modifications à Active Directory, affectant ainsi les stratégies de groupe, les paramètres de sécurité et d'autres composants essentiels de l'infrastructure.

Entra ID est confrontée à des risques similaires. En outre, les applications SaaS intégrées et les ressources basées sur l'informatique en nuage pourraient être compromises.

Indicateurs d'exposition et indicateurs de compromission

Dans Purple Knight et Directory Services Protector, les indicateurs suivants peuvent vous alerter sur une séparation inappropriée des privilèges :

  • Compte d'administrateur de domaine intégré utilisé au cours des deux dernières semaines. Soyez attentif à cet indicateur, car il peut signaler un utilisateur compromis.
  • Modifications de l'appartenance à un groupe privilégié au cours des 7 derniers jours. Cet indicateur peut signaler une tentative d'escalade des privilèges.
  • Comptes d'ordinateur dans des groupes privilégiés. Si un compte d'ordinateur est membre du groupe privilégié du domaine, toute personne qui compromet le compte d'ordinateur peut agir en tant que membre de ce groupe.
  • Comptes d'administration activés qui sont inactifs. Les attaquants qui compromettent ces comptes peuvent alors opérer sans se faire remarquer.
  • Administrateurs éphémères. Ces comptes éphémères peuvent être le signe d'une activité malveillante.

3. Surveillance insuffisante du réseau interne

Cette mauvaise configuration est un oubli critique. Elle peut rendre votre organisation vulnérable à des intrusions non détectées, à des menaces internes et à des activités malveillantes.

Une surveillance insuffisante du réseau interne peut avoir plusieurs causes :

  • Le manque d'outils appropriés
  • Couverture insuffisante du trafic réseau
  • Mécanismes d'alerte inadéquats
  • L'absence d'une équipe dédiée à l'analyse des données de surveillance

De nombreuses organisations se concentrent sur la défense du périmètre. Mais le trafic interne est souvent négligé, en partant du principe que le réseau interne est sécurisé. Cette négligence est problématique. Une fois qu'un attaquant a franchi le périmètre, il peut souvent se déplacer latéralement sans grande résistance ni détection.

En particulier, les actifs internes critiques tels qu'Active Directory, qui sert de base à l'authentification et à l'autorisation dans les environnements Windows, sont des cibles de grande valeur. En l'absence d'une surveillance robuste de l'Active Directory, votre organisation risque de ne pas voir les anomalies internes qui signalent une violation ou des activités non autorisées.

Risques liés à la sécurité de l'identité

Dans un contexte Active Directory, cette mauvaise configuration peut conduire à des indicateurs de compromission manqués, notamment :

  • Tentatives de connexion inhabituelles
  • Modifications des politiques du groupe
  • La création de comptes privilégiés

Dans Entra ID, une surveillance insuffisante peut conduire à l'absence de capture :

  • Activités anormales d'ouverture de session
  • Accès non autorisé aux ressources en nuage
  • Modes d'utilisation irréguliers

Ces risques peuvent conduire à des violations de données, à des interruptions de services et à des dommages opérationnels et de réputation importants.

Indicateurs d'exposition et indicateurs de compromission

Semperis se concentre sur l'évaluation et l'amélioration de la posture de sécurité de l'Active Directory sur site et d'Entra ID, plutôt que sur la surveillance du trafic réseau. Notre objectif principal est de fournir un aperçu de la dynamique au sein d'un environnement Active Directory hybride, en identifiant :

  • Quelles sont les modifications apportées ?
  • Qui est à l'origine des changements ?
  • La nature des activités des utilisateurs

Purple Knight effectue une évaluation ponctuelle de l'environnement Active Directory hybride. L'outil fournit ensuite une liste d'indicateurs de sécurité classés par ordre de priorité et des conseils de remédiation exploitables.

Directory Services Protector surveille en permanence les composants critiques de l'identité, tels que les objets de stratégie de groupe (GPO) et les autorisations d'accès. En surveillant en permanence la position de sécurité de votre Active Directory, vous pouvez déterminer si votre posture de sécurité s'améliore ou se dégrade. Vous pouvez également configurer le retour automatique des modifications suspectes ainsi que des déclencheurs et des alertes personnalisés.

Ne tardez pas à auditer Active Directory dès aujourd'hui

C'est tout pour ce billet. Le prochain article de cette série traitera des implications sur Active Directory des quatre éléments suivants de la liste des dix principales erreurs de configuration en matière de cybersécurité établie par CISA et la NSA. En attendant, téléchargez Purple Knight- c'est gratuit - et vérifiez si votre organisation est exposée aux risques liés aux indicateurs évoqués cette semaine.

Lire la suite