Comme jamais auparavant, Active Directory (AD) fait l'objet d'une attaquantsattaquants. Dans ce blog, nous examinerons comment les attaques de ransomware abusent d'AD et comment les entreprises peuvent faire évoluer leurs stratégies défensives pour garder une longueur d'avance sur les attaquants. les entreprises peuvent faire évoluer leurs stratégies défensives pour garder une longueur d'avance sur les attaquants.
Tout d'abord, un petit mot sur la récente faille d'escalade de privilèges baptisée Zerologonqui permet à un attaquant non authentifié disposant d'un accès réseau à un contrôleur de domaine de compromettre totalement les services d'identité Active Directory. Classée 10 sur 10 pour sa gravité par le Common Vulnerability Scoring System (CVSS), Zerologon a soulevé de sérieuses inquiétudes quant à la sécurité d'AD. À cela, je réponds qu'il était temps. Zerologon n'est que la dernière des nombreuses nouvelles menaces ciblant AD. Il est grand temps de réexaminer la sécurité de votre système d'administration.
Attaques par ransomware exploitant Active Directory
Le secteur des ransomwares est en plein essor.
L'année dernière, des attaques ciblées de ransomwares contre des agences gouvernementales, des établissements d'enseignement et des prestataires de soins de santé ont fait monter la pression sur les personnes chargées de protéger les organisations. Les attaques de ransomware ne nuisent pas seulement aux affaires, elles mettent aussi en danger la santé, la sécurité et les vies humaines. En outre, les victimes qui facilitent les négociations avec les extorqueurs de ransomware s'exposent à de lourdes amendes de la part du gouvernement fédéral américain.
Dans un passé pas si lointain, les ransomwares représentaient principalement une menace pour les consommateurs. Mais aujourd'hui, les acteurs de la menace des ransomwares lancent des campagnes sophistiquées qui rappellent les attaques de type APT, où les objectifs de persistance, de vol de données et d'extorsion coexistent avec les efforts de chiffrement des fichiers.
Plutôt que les attaques automatisées et aveugles historiquement associées aux ransomwares, les attaquants modernes mènent des campagnes de ransomwares pilotées par des humains qui utilisent des outils tels que BloodHound, Mimikatz et PowerSploit pour collecter des informations utiles sur l'environnement Active Directory, effectuer une reconnaissance, voler des informations d'identification et s'enfoncer plus profondément dans le réseau.
Prenons l'exemple du ransomware Ryuk, que la communauté de la sécurité a associé à de multiples campagnes d'attaques au cours de l'année écoulée. Dans nombre de ces attaques ciblées, Ryuk était la charge utile finale, mais l'attaque commençait par TrickBot ou Emotet. Ces logiciels malveillants téléchargent à leur tour des outils tels que Cobalt Strike et PowerShell Empire. Les acteurs de la menace commencent alors à mener des opérations de reconnaissance et à voler des informations d'identification, en utilisant le composant de BloodHound appelé SharpHound pour collecter des informations sur l'environnement Active Directory et cartographier les chemins d'attaque possibles. Ryuk est une attaque qui présente un aspect inquiétant pour AD : le ransomware est transmis à des utilisateurs peu méfiants par l'intermédiaire d'objets de stratégie de groupe (GPO) d'AD. Lors d'un incident, rapporté par la publication de sécurité Dark Reading, les attaquants ont piraté des serveurs AD à l'aide du protocole Remote Desktop Protocol (RDP) et ont inséré Ryuk dans le script de connexion AD, infectant ainsi toutes les personnes qui se connectaient à ce serveur AD.
Malheureusement, ce type d'utilisation abusive d'Active Directory n'est pas propre à Ryuk. Les acteurs malveillants qui utilisent le ransomware Maze suivent un schéma similaire en déployant le ransomware après la compromission et en perpétrant le vol de données. Récemment, le ransomware a été associé à une attaque contre le système scolaire public du comté de Fairfax en Virginie. Dans une analyse de Maze datant de mai 2020, les chercheurs de FireEye ont noté que les courriels malveillants et le RDP ont été observés parmi les méthodes initiales de compromission, et que les attaquants ont cherché à obtenir l'accès à de multiples comptes de domaine et de système local. Pour escalader les privilèges et identifier les voies d'attaque, les attaquants ont souvent utilisé les outils de piratage open-source mentionnés précédemment pour s'introduire dans Active Directory. Après l'exfiltration des données, le ransomware a été déployé de diverses manières, y compris un incident où l'attaquant a utilisé un compte d'administrateur de domaine pour se connecter et infecter plusieurs systèmes.
Autre exemple de la façon dont Active Directory est ciblé, les chercheurs en sécurité ont récemment mis en lumière une souche de ransomware baptisée SaveTheQueen qui a été observée en train d'utiliser le partage SYSVOL sur les contrôleurs de domaine AD pour se propager dans tout l'environnement. L'accès au partage SYSVOL - qui est utilisé pour fournir des scripts de stratégie et de connexion aux membres du domaine - nécessite généralement des privilèges élevés et indique une compromission sérieuse d'AD.
Atténuer les risques pour Active Directory
Le risque élevé que les ransomwares font peser sur Active Directory signifie que les organisations doivent se concentrer davantage sur la sécurité et la restauration d'Active Directory. Après la compromission, Zerologon est exactement le type de vulnérabilité que les attaquants pourraient utiliser pour compromettre AD et en tirer parti pour diffuser des logiciels malveillants. La première étape consiste à réduire la surface d'attaque. La mise en œuvre d'une segmentation efficace du réseau, d'une hiérarchisation des administrateurs et du principe du moindre privilège pour limiter l'accès accroît la difficulté pour les intrus. En adoptant les meilleures pratiques et en remédiant aux systèmes non corrigés, les entreprises peuvent mettre hors de portée des attaquants les fruits les plus faciles à atteindre.
En examinant les attaques ci-dessus, les organisations peuvent prendre des mesures supplémentaires. Le changement de tactique des opérateurs de ransomware rappelle l'importance d'une défense en profondeur. Les capacités de lutte contre les logiciels malveillants sur les postes de travail sont toujours essentielles pour arrêter les infections. En outre, la présence non autorisée d'outils de pen-test par ailleurs légitimes tels que BloodHound devrait déclencher une alerte pour signaler que quelque chose ne va pas, tout comme un nombre important de tentatives de connexion échouées impliquant le bureau à distance.
Le renforcement des défenses signifie également qu'il est plus difficile d'abuser d'Active Directory, ce qui nécessite de surveiller AD pour détecter les changements non autorisés. Chez Semperis, nos solutions offrent une surveillance continue et une évaluation des vulnérabilités pour AD, ainsi que la possibilité d'annuler toute modification non autorisée sans l'intervention d'un administrateur. Par exemple, si un utilisateur est ajouté de manière suspecte à un groupe privilégié, ce changement sera détecté et automatiquement annulé afin d'éviter tout dommage potentiel. Ce type de surveillance continue doit s'étendre aux journaux d'événements, car de nombreux attaquants effacent le journal des événements de sécurité pour supprimer les traces de leur activité.
Du point de vue de la récupération d'Active Directory, les organisations doivent adapter leurs plans d'intervention afin d'inclure des préparatifs pour les attaques de ransomware. Dans ce scénario, tout système connecté au réseau peut être affecté. Pour se préparer, les sauvegardes doivent être enregistrées sur un serveur non relié à un domaine et hors site. Il est surprenant de constater que de nombreuses organisations n'ont même pas testé leurs plans de reprise après sinistre AD. En fait, selon notre enquête 2020 sur les responsables de la sécurité centrée sur l'identité, 21 % des personnes interrogées ont déclaré n'avoir aucun plan. Cette découverte est alarmante compte tenu de l'augmentation des attaques de ransomware à évolution rapide et de l'impact généralisé d'une panne d'AD. Une mauvaise préparation augmentera les temps d'arrêt et les coûts associés à une attaque par ransomware.
Il est impossible d'arrêter toutes les attaques, d'autant plus que les effectifs à distance augmentent rapidement la surface d'attaque. Mais vous pouvez contrôler votre résilience. Votre entreprise en dépend.
