Darren Mar-Elia

Comprendre comment les compromissions se produisent est un élément fondamental de la mise en place d'une défense en matière de cybersécurité. Dans cette optique, j'ai récemment rejoint Andy Robbins, co-créateur de l'outil open source de découverte des chemins d'attaque, BloodHound, pour un webinaire qui a décrit comment les attaquants ciblent Active Directory (AD).   

Au cours de la présentation, nous avons mis en lumière une vérité gênante : le centre des services d'identité d'entreprise est désormais un fruit mûr et juteux à portée de main. Il n'est pas surprenant qu'Active Directory soit une source d'intérêt pour les attaquants, mais on sous-estime souvent à quel point il est devenu une cible facile.-probablement parce que son statut de maillon faible de la chaîne de sécurité n'est pas dû à des vulnérabilités de code très médiatisées. En réalité, dans de nombreux cas, les portes les plus larges pour les attaquants sont celles ouvertes par les configurations de déploiement courantes et les erreurs de gestion.

Pourquoi l'AD est une cible facile

Le fait est qu'AD n'a pas été conçu en tenant compte des défis modernes en matière de sécurité. Dans le passé, les pen testers et les attaquants s'appuyaient sur des exploits côté serveur pour compromettre les systèmes. Une fois à l'intérieur, ils utilisaient des mots de passe d'administrateur local courants pour se déplacer latéralement dans le réseau. Aujourd'hui, ils disposent de techniques plus fiables qui présentent moins de risques d'être détectées ou de provoquer une panne du système. Ces techniques s'appuient sur des outils tels que BloodHound et abusent des protocoles intégrés au système d'exploitation Windows et à AD lui-même.

BloodHound, par exemple, peut être dirigé vers Active Directory et utilisé pour identifier les chemins d'attaque et trouver le moyen le plus facile pour les acteurs de la menace d'élever leurs privilèges dans un environnement. Cela est possible parce que, par défaut, les utilisateurs du domaine ont un accès en lecture à tout objet dans AD. Malheureusement, pour de nombreuses entreprises, la complexité des applications et de l'infrastructure rend difficile la suppression de l'accès aux objets susceptibles d'intéresser les attaquants, ce qui laisse une porte ouverte aux attaquants pour effectuer une reconnaissance.

Telle est la réalité de la sécurisation d'AD. Si les vulnérabilités liées au code peuvent être résolues en appliquant les dernières mises à jour de sécurité le plus rapidement possible, c'est la manière dont AD est déployé dans un environnement qui constitue souvent le plus grand défi en matière de sécurité. Les défis auxquels les organisations sont confrontées ne font qu'augmenter à mesure que l'environnement AD devient plus complexe. Au fur et à mesure que des utilisateurs et des groupes sont ajoutés ou supprimés, la probabilité que des erreurs de configuration se produisent alors que l'équipe informatique s'efforce de maintenir des paramètres et des politiques cohérents ne cesse d'augmenter. Ces erreurs peuvent prendre de nombreuses formes, de la délégation sans contrainte à l'absence de prise en compte des autorisations héritées lors de l'imbrication d'un groupe.

Mais comme le dit le proverbe, mieux vaut prévenir que guérir. Le renforcement d'Active Directory ne se limite pas à l'application de correctifs. Il s'agit également de fermer les portes ouvertes par des problèmes tels qu'une mauvaise gestion des groupes, et pour ce faire, les entreprises doivent savoir ce qu'il faut rechercher.

Réduire les risques grâce à la visibilité

Les problèmes les plus critiques sont ceux qui peuvent permettre une escalade des privilèges et un mouvement latéral de la part des attaquants. Prenons deux attaques courantes.

Premier incident : les attaquants ciblent le AdminSDHolder . Les attaquants tentent de modifier la liste de contrôle d'accès (ACL) afin de changer les permissions sur les objets privilégiés par l'intermédiaire de l'objet AdminSDHolder. S'ils y parviennent, ils donneront à tout compte ajouté à la liste de contrôle d'accès les privilèges des autres comptes d'un groupe.

Deuxième incident : des intrus lancent des attaques de type "Golden Ticket". Les attaques Golden Ticket ciblent Kerberos et impliquent des attaquantsqui ont obtenu le mot de passe du mot de passe krbtgt falsifient un ticket de connexion pour élever leurs privilèges et se connecter à n'importe quel service en tant qu'utilisateur. service en tant qu'utilisateur.

Au fond, la défense contre ces attaques et d'autres se résume à la surveillance d'AD pour détecter toute activité suspecte. Pour y parvenir efficacement, il est important d'exploiter les informations sur les tactiques des attaquants. Réduire l'étendue des menaces en prenant des mesures telles que l'examen des autorisations et l'application du principe du moindre privilège dans les groupes AD, l'utilisation de mots de passe complexes et la priorité accordée aux mises à jour de sécurité pour les serveurs AD n'est qu'un élément de l'équation d'une défense solide. L'autre élément est la capacité à détecter les menaces et à y répondre de manière dynamique dès leur apparition.

Semperis a récemment pris des mesures pour aider ses clients à relever ce défi technologique. En juin, nous avons lancé la version 3.0 de Directory Services Protector (DSP) v3.0, qui permet une surveillance continue et une évaluation des vulnérabilités. DSP scanne Active Directory à la recherche d'indicateurs d'exposition et classe les vulnérabilités par ordre de priorité en fonction du risque qu'elles représentent. Cette capacité est encore améliorée par une combinaison de renseignements intégrés sur les menaces et de conseils d'une communauté de chercheurs en sécurité. Au fur et à mesure que de nouvelles recherches sur les menaces sont effectuées, des indicateurs de sécurité supplémentaires sont ajoutés de manière dynamique afin de détecter de nouvelles techniques d'attaque.

Armé des informations les plus récentes sur les menaces, Semperis DSP peut utiliser sa nouvelle capacité d'auto-remédiation pour annuler les changements opérationnels ou de sécurité critiques sans intervention d'ADministrateur. Grâce à l'auto-remédiation, votre entreprise peut annuler les modifications suspectes et prévenir tout dommage supplémentaire avant qu'il ne se produise. Elle permet également aux entreprises de détecter les modifications et les suppressions dans toutes les partitions AD et tous les objets de stratégie de groupe, même si l'attaquant contourne la journalisation.

La prévention en action

La bonne nouvelle concernant la sécurisation d'AD est que les moyens de prévenir les attaques sont sous nos yeux. À Semperisnous mettons régulièrement à jour une liste d'indicateurs de menaces qui permettent aux entreprises de fermer la porte aux types de failles de sécurité qui font saliver les attaquants. Prenons, par exemple, les changements récents apportés à la stratégie de domaine par défaut ou aux contrôleurs de domaine par défaut. contrôleurs des contrôleurs de domaine par défaut GPO. Ce type de modification peut indiquer que des attaquants sont actifs dans l'environnement, car ces objets de stratégie de groupe (GPO) contrôlent les paramètres de sécurité et peuvent être utilisés pour obtenir un accès privilégié à AD. Un autre exemple est une modification inattendue du descripteur de sécurité par défaut par défaut sur une classe d'objets dans le schéma-une cible juteuse pour les attaquants, car toute modification peut être propagée aux objets nouvellement créés.

L'utilisation d'indicateurs de menace pour faciliter les efforts de surveillance améliore l'efficacité des contrôles de sécurité autour d'AD. Associée à la possibilité d'annuler les modifications et d'effectuer des évaluations de vulnérabilité qui signalent les comptes d'utilisateurs avec des contrôles risqués, elle réduit la probabilité qu'un comportement malveillant ait un impact sur AD et ne soit pas détecté.

Les acteurs de la menace empruntent le chemin de moindre résistance pour atteindre leurs objectifs. Tant que la porte d'entrée est ouverte en raison de mauvaises configurations ou du fonctionnement d'AD, les attaquants continueront à s'approcher de votre entreprise.'Les attaquants continueront à s'approcher du seuil de votre entreprise. Pour renforcer AD, les équipes informatiques doivent exploiter les informations sur les tactiques de leurs adversaires et concentrer leurs efforts de sécurité sur la mise en place d'autant d'obstacles numériques que possible devant les voies d'attaque.