Semperis annonce Minuit dans la salle de guerre : Un documentaire révolutionnaire sur la cyberguerre mettant en scène les plus grands défenseurs et pirates informatiques réformés du monde.
Se défendre contre les menaces liées à l'identité

Catalogue des menaces pour l'identité

Découvrez les menaces courantes qui pèsent sur les identités, comment les détecter et comment défendre votre environnement AD contre les attaques.

Quels sont les types les plus courants d'attaques basées sur l'identité ?

Les agences de cybersécurité de l'alliance Five Eyes, dont la CISA et la NSA, ont exhorté les organisations à renforcer la sécurité de Microsoft Active Directory (AD), une cible de choix pour les cyberattaquants. En raison de son utilisation généralisée et de sa complexité, l'AD est particulièrement vulnérable aux cybermenaces, notamment aux attaques et tactiques basées sur l'identité dont il est question ici.

Modification de AdminSDHolder

La modification de AdminSDHolder est une technique utilisée par les attaquants pour garder le contrôle sur les comptes à privilèges élevés dans Active Directory. En modifiant les paramètres de sécurité spéciaux appliqués à ces comptes, les attaquants peuvent empêcher les administrateurs de supprimer leur accès.

AS-REP Torréfaction

Le "AS-REP Roasting" est une méthode utilisée par les attaquants pour voler les mots de passe d'un système en demandant des informations de connexion cryptées qui sont plus faciles à déchiffrer. Cette tactique vise les comptes qui ne nécessitent pas de contrôles de sécurité supplémentaires lors de la connexion.

DCShadow

DCShadow est une technique d'attaque qui permet aux pirates d'enregistrer un contrôleur de domaine malhonnête dans Active Directory. Les attaquants peuvent alors apporter des modifications non autorisées directement à la base de données AD tout en évitant d'être détectés.

DCSync

Dans une attaque DCSync, les attaquants utilisent des autorisations spécifiques pour inciter un contrôleur de domaine à partager des hachages de mots de passe et d'autres données sensibles d'Active Directory.

SAML d'or/SAML d'argent

Une attaque Golden SAML est une technique dans laquelle un attaquant falsifie des réponses d'authentification SAML pour obtenir un accès non autorisé à des applications - souvent avec des privilèges élevés - sans avoir besoin d'informations d'identification légitimes ou d'une interaction directe avec le fournisseur d'identité. Dans le cas d'une attaque Silver SAML, les acteurs de la menace falsifient les réponses d'authentification SAML d'un fournisseur d'identité en nuage comme Microsoft Entra ID, ce qui permet un accès non autorisé aux applications qui font confiance à ce fournisseur, même en l'absence d'informations d'identification de l'utilisateur ou d'authentification multifactorielle.

Ticket d'or

Dans une attaque de type Golden Ticket, un pirate prend le contrôle d'un composant de chiffrement des clés (le compte KRBTGT) dans un domaine Windows, ce qui lui permet de créer des tickets Kerberos valides. Grâce à ces faux tickets, le pirate peut se faire passer pour n'importe quel utilisateur, y compris les administrateurs de domaine, et obtenir un accès illimité à l'ensemble du domaine pendant une période prolongée.

Golden gMSA

Dans une attaque Golden gMSA, les acteurs de la menace vident les attributs de la clé racine KDS pour générer et exploiter les mots de passe des comptes de services gérés par groupe (gMSA), qui sont utilisés pour exécuter des services à l'aide d'informations d'identification gérées.

La kermesse

Le Kerberoasting est une attaque dans laquelle les attaquants demandent des tickets de service pour les comptes qui exécutent des services dans un domaine Windows. Ces tickets sont cryptés avec le hachage du mot de passe du compte de service, et les attaquants peuvent alors tenter de craquer le hachage hors ligne pour récupérer le mot de passe du compte de service.

Reconnaissance LDAP

La reconnaissance LDAP est une technique utilisée par les attaquants pour interroger le protocole LDAP afin de recueillir des informations sur les utilisateurs, les groupes, les ordinateurs et les autorisations dans un environnement Active Directory.

Extraction de NTDS.dit

Lorsque les pirates copient le fichier NTDS.dit, ils volent la base de données Active Directory, qui contient toutes les informations relatives aux comptes d'utilisateurs, y compris les hachages de mots de passe. Grâce à ce fichier, les pirates peuvent extraire des données sensibles, telles que les mots de passe de tous les comptes du domaine.

Passer le hachoir

Dans une attaque de type "Pass the Hash", les acteurs de la menace utilisent un hachage de mot de passe volé pour s'authentifier et accéder aux systèmes en tant qu'utilisateur compromis.

Transmettre le ticket

Dans une attaque de type "Pass the Ticket", les auteurs de la menace utilisent un ticket Kerberos volé pour s'authentifier en tant qu'utilisateur sans avoir besoin de son mot de passe.

Pulvérisation du mot de passe

Dans une attaque par pulvérisation de mots de passe, les attaquants essaient d'utiliser des mots de passe communs à plusieurs comptes plutôt que de se concentrer sur un seul compte. Cette tactique réduit la probabilité de blocage des comptes lorsque les acteurs de la menace tentent d'obtenir un accès et d'augmenter leurs privilèges.

Extraction de mots de passe en clair/abus de GPP

L'utilisation abusive des préférences de stratégie de groupe (GPP) est un excellent exemple d'extraction de mots de passe en clair. Dans les anciennes versions de GPP, les administrateurs pouvaient configurer des comptes ou des services locaux avec des mots de passe, qui étaient stockés dans des fichiers XML, à partir desquels ils pouvaient être décodés assez facilement. En outre, les mots de passe définis dans GPP pouvaient s'appliquer à plusieurs serveurs et postes de travail membres.

Billet d'argent

Une attaque par ticket d'argent se produit lorsque des attaquants falsifient des tickets de service Kerberos pour des services spécifiques, tels que des partages de fichiers ou des applications web, après avoir compromis les informations d'identification du compte de service.

Exploit Zerologon

Zerologon est une vulnérabilité critique (CVE-2020-1472) dans le protocole d'authentification Netlogon qui permet aux attaquants d'usurper l'identité de n'importe quel ordinateur, y compris un contrôleur de domaine.

Plus d'informations sur les menaces

Les experts en sécurité de l'identité de Semperis vous aident à rester vigilant face aux attaques basées sur l'identité.

Une nouvelle attaque contre le consentement à l'utilisation : L'octroi de consentement caché

Une nouvelle attaque contre le consentement à l'utilisation : L'octroi de consentement caché

  • Blog
Comment se défendre contre une attaque de type "Pass the Ticket" : Sécurité AD 101

Comment se défendre contre une attaque de type "Pass the Ticket" : Sécurité AD 101

  • Blog
Comment se défendre contre une attaque par relais NTLM ?

Comment se défendre contre une attaque par relais NTLM ?

  • Blog
Comment se défendre contre une attaque de type "Overpass the Hash" ?

Comment se défendre contre une attaque de type "Overpass the Hash" ?

  • Blog
Lire la suite

Audit de votre environnement pour détecter les menaces liées à l'identité

Purple Knight

Forest Druid

Forest Druid

Évaluation des risques

Évaluation de la sécurité AD

Évaluation de la sécurité d'Entra ID