Sean Deuby | Technologue principal

La sécurité de Microsoft Active Directory implique de faire face à un ensemble de risques, allant des erreurs de gestion aux vulnérabilités non corrigées. Nous écrivons souvent sur le fait que les cyber-attaquants ciblent l'AD pour élever leurs privilèges et obtenir une certaine persistance dans l'organisation. En enquêtant sur une violation de données typique, vous constaterez que des informations d'identification volées ont probablement été utilisées - parfois pour l'entrée initiale, parfois pour accéder à des systèmes critiques, mais toujours au détriment de l'organisation ciblée.

Le renforcement d'AD commence par la maîtrise des vulnérabilités et des erreurs courantes de configuration et de gestion qui ouvrent la voie à des compromissions. Pour défendre AD, les administrateurs doivent savoir comment les attaquants ciblent leur environnement. Cependant, combien d'entre eux sont capables de répondre à un questionnaire sur les types de failles de sécurité par lesquelles les acteurs de la menace se faufilent au fur et à mesure qu'ils franchissent les étapes de l'intrusion ?

Lecture associée

Échec de l'authentification

Cela peut paraître ironique, mais certaines des erreurs de configuration les plus courantes et les plus préjudiciables à Active Directory sont liées au processus d'authentification. Prenons le cas d'une organisation qui souhaite autoriser une application tierce ou maison qui ne s'intègre pas à Active Directory, mais qui veut interroger Active Directory pour trouver des utilisateurs actifs. La solution la plus simple consiste à autoriser l'accès anonyme à Active Directory. Si cette mesure peut être judicieuse du point de vue de la productivité pour les administrateurs débordés, elle permet également aux utilisateurs non authentifiés d'interroger AD. Si cette capacité est activée sans contrôles d'atténuation, le profil de risque de cette organisation va augmenter de manière substantielle.

La vulnérabilité Zerologon signalée en 2020 a été rapidement exploitée par des attaquants car elle leur permettait de modifier ou de supprimer le mot de passe d'un compte de service sur un contrôleur de domaine. Les résultats d'une exploitation réussie peuvent être catastrophiques. Des mots de passe faibles, des mots de passe qui n'expirent pas, l'absence de mots de passe : autant de signes qui indiquent que l'environnement AD d'une organisation n'est pas sécurisé.

Les politiques de sécurisation des mots de passe doivent être à l'ordre du jour dans l'ensemble de l'infrastructure Active Directory. Tout compte dont l'indicateur PASSWD_NOTREQD est activé devrait automatiquement faire l'objet d'un examen plus approfondi et avoir une raison justifiable pour sa configuration. En outre, les mots de passe, en particulier ceux des comptes de service, doivent faire l'objet d'une rotation périodique. Le fait de laisser les mots de passe inchangés pendant une longue période augmente la probabilité de réussite d'une attaque par force brute, car les attaquants auront plus de temps pour s'en emparer.

Les problèmes d'authentification à surveiller sont les suivants :

  1. Ordinateurs et objets Group Managed Service Accounts (gMSA) dont les mots de passe ont été définis il y a plus de 90 jours
  2. Mots de passe réversibles trouvés dans les objets de stratégie de groupe (GPO)
  3. Accès anonyme à Active Directory activé
  4. Vulnérabilité Zerologon (CVE-2020-1472) si le correctif n'est pas appliqué.

Autoriser des permissions excessives

Comme la plupart des environnements AD sont en production depuis de nombreuses années, leur surface d'attaque s'est accrue. Mnombreuses vulnérabilités cumulées d'une forêt peuvent être attribuées au modèle que quelqu'un a besoin de faire quelque chose, généralement dans l'urgence, et que le moins que l'on puisse faire, c'est de le faire.-privilège pour y parvenir est trop long, trop trop long, n'est pas facilement disponibleou tout simplement inconnue. Il en résulte que, l'utilisateur, le groupe ou l'autorisation est sur-privilégié juste pour s'assurer que la demande sera satisfaite et le ticket fermé. Et bien sûr, ce droit n'est jamais supprimé, de sorte que la surface d'attaque ne cesse de croître.

En réalité, il n'est pas rare que les environnements AD comptent un nombre inutilement élevé d'administrateurs de domaine, ce qui peut être encore plus inquiétant si ces comptes sont orphelins et n'attendent que d'être exploités lors d'une attaque. Les comptes de service disposant d'autorisations excessives présentent également un risque élevé car leurs mots de passe sont généralement configurés pour ne pas expirer, et nombre d'entre eux ont des mots de passe faibles (ce qui en fait une bonne cible pour le kerberoasting). Plus le nombre d'utilisateurs disposant de privilèges administratifs augmente, plus la surface d'attaque à protéger s'accroît. L'appartenance à ces groupes doit être étroitement contrôlée.

Bien entendu, des erreurs peuvent être commises. Au fur et à mesure que l'environnement AD s'agrandit et se complexifie, par exemple, quelqu'un peut ne pas prendre en compte correctement les autorisations héritées et accorder par inadvertance trop de privilèges à un compte. Mais même une bonne gestion de la délégation des privilèges ne suffit pas lorsque les attaquants passent à l'offensive.

A titre d'exemple, considérons l'impact d'une attaque AdminSDHolder. Pour rappel, le conteneur AdminSDHolder stocke le descripteur de sécurité appliqué aux groupes privilégiés. Par défaut, toutes les 60 minutes, le processus Security Description Propagation (SDPROP) compare les autorisations sur les objets protégés et annule toute divergence en fonction de ce qui est défini dans AdminSDHolder.

Dans une attaque AdminSDHolder, les acteurs de la menace exploitent SDPROP pour maintenir la persistance en remplaçant les autorisations d'un objet par les modifications non autorisées de l'attaquant. Si les modifications des autorisations sont identifiées et annulées, mais que les modifications non autorisées de AdminSDHolder ne sont pas détectées, les modifications de l'attaquant seront rétablies.

L'audit des autorisations et la surveillance des activités suspectes constituent la meilleure défense contre l'abus de privilèges.

Les questions de permission à surveiller sont les suivantes

  1. Objets privilégiés avec propriétaires non privilégiés
  2. Changements de permissions sur l'objet AdminSDHolder
  3. Utilisateurs non privilégiés ayant des droits DC Sync sur le domaine
  4. Modifications du schéma du descripteur de sécurité par défaut au cours des 90 derniers jours

Aide-mémoire pour la sécurité

En disposant d'informations sur les indicateurs d'exposition (IOE), les organisations peuvent renforcer la sécurité de leur DA. L'un des outils qui peut vous aider est le suivant Purple KnightPurple Knight interroge votre environnement Active Directory en mode "lecture seule" et effectue un ensemble complet de tests contre les vecteurs d'attaque les plus courants et les plus efficaces afin de découvrir les configurations à risque et les faiblesses en matière de sécurité.

L'analyse d'Active Directory permet de connaître son niveau de sécurité et de réduire le risque que des modifications non autorisées ou des erreurs de configuration ne soient pas détectées. Les administrateurs AD ne doivent pas se contenter de connaître leur métier, ils doivent aussi connaître les tactiques de leurs adversaires. En gardant à l'esprit les signes d'alerte critiques, ils peuvent renforcer AD contre les attaques courantes.