Sean Deuby | Technologue principal

Dans le roman de Roald Dahl Charlie et la chocolaterie(1964), l'énigmatique Willy Wonka cache cinq billets d'or parmi les tablettes de chocolat de sa fabrique. Ceux qui les trouvent ont l'honneur d'accéder aux coulisses de l'entreprise. Dans le monde numérique, les billets d'or donnent également accès, mais à quelque chose de bien plus précieux qu'une usine mystérieuse : l'environnement informatique de l'entreprise.

Lecture associée

Votre billet, s'il vous plaît

Pour commencer, lorsqu'un client PC s'authentifie auprès d'un domaine, le Centre de distribution de clés Kerberos (KDC) du contrôleur de domaine (DC) qui s'authentifie fournit au client un Ticket Granting Ticket (TGT). Ce TGT permet au client de demander au KDC un ticket de service pour accéder à un service (par exemple, un serveur de fichiers). Le KDC envoie le ticket de service au client, chiffré avec la valeur hachée du mot de passe du compte de service. Le client transmet le ticket au service, qui le déchiffre et accorde au client l'accès au service.

Le compte krbtgt fonctionne comme un compte de service pour le service KDC. En contrôlant le compte krbtgt, les attaquants peuvent créer des TGT frauduleux pour accéder à toutes les ressources qu'ils souhaitent. Ce scénario est l'essence même d'une attaque de type "Golden Ticket". Si elles sont menées à bien, ces attaques permettent aux acteurs de la menace de se faire passer pour n'importe quel utilisateur. L'attaque est difficile à détecter et peut être utilisée par les acteurs de la menace pour rester sous le radar pendant de longues périodes.

Pour lancer l'attaque, il faut que l'attaquant ait déjà compromis un compte avec des privilèges élevés permettant d'accéder au contrôleur de domaine. Chaque contrôleur de domaine de l'environnement AD exécute un KDC. Une fois qu'il a accès au contrôleur de domaine, l'attaquant peut utiliser un outil comme Mimikatz pour voler le hachage NTLM du compte krbtgt.

Avec le hachage du mot de passe krbtgt en main, l'acteur de la menace n'a besoin que des éléments suivants pour créer un TGT :

  • Nom de domaine entièrement qualifié (FQDN) du domaine
  • L'identifiant de sécurité (SID) du domaine
  • Le nom d'utilisateur du compte ciblé.

Bien que les TGT soient généralement valables pendant 10 heures par défaut, un pirate peut les rendre valables pour une durée indéterminée pouvant aller jusqu'à 10 ans. C'est pourquoi il est essentiel de disposer d'une stratégie permettant de détecter, d'atténuer et de corriger ces attaques.

Utiliser des mesures d'hygiène de base pour se prémunir contre les attaques de type "Golden Ticket".

La prévention des attaques au moyen du ticket d'or commence par une hygiène de sécurité de base. Les adversaires ne peuvent pas lancer l'attaque sans compromettre d'abord l'environnement, de sorte que les organisations peuvent commencer par mettre en œuvre une défense en couches pour réduire la surface d'attaque et élever la barrière à l'entrée.

  1. Prévention du vol de données d'identification : La première couche concerne la prévention du vol de données d'identification. Il est essentiel de bloquer les logiciels malveillants et les attaques par hameçonnage qui volent les informations d'identification, et cela devrait impliquer une combinaison de formation de sensibilisation à la sécurité pour les employés ainsi que la sécurité du réseau et des points d'extrémité. L'élimination des mots de passe courants de votre annuaire à l'aide d'un filtre de mot de passe personnalisé tel que Azure AD Password Protection réduira les chances de réussite d'une attaque par pulvérisation de mot de passe. Toute activité Mimikatz qui n'est pas menée par l'équipe rouge de votre organisation ou par un testeur autorisé est un signe clair que les attaquants sont arrivés.
  2. Assurer la sécurité d'AD : La couche suivante consiste à élever le mur du château autour d'AD lui-même. Étant donné qu'une attaque de type "Golden Ticket" nécessite un accès privilégié à un contrôleur de domaine, la mise en œuvre du principe du moindre privilège est cruciale pour assurer la sécurité d'AD. Les équipes AD doivent réduire au minimum le nombre de comptes d'utilisateurs et de services ayant accès aux contrôleurs de domaine. Les comptes disposant des autorisations d'administrateur de domaine ou de "réplication des modifications de répertoire" peuvent être utilisés pour lancer des attaques DCSync, qui permettent de voler le hachage krbtgt.
  3. Recherche de faux billets : Tout comme les faux billets de banque, les faux tickets peuvent être découverts en recherchant un comportement inhabituel de l'utilisateur, puis en examinant le ticket à la recherche de signes révélateurs. Par exemple, des erreurs telles que la non-concordance du nom d'utilisateur et de l'ID relatif (RID) ou des modifications de la durée de vie du ticket peuvent être des indicateurs d'une activité malveillante. En outre, il est également important de surveiller AD pour détecter toute activité inhabituelle, telle que des changements dans l'appartenance à un groupe.
  4. Soyez prudent lorsque vous changez le mot de passe krbtgt : L'un des conseils les plus courants pour contrer les attaques du ticket d'or est de changer le mot de passe krbtgt tous les 180 jours. Cela ne doit pas être fait par hasard, car cela entraînera temporairement des échecs de validation des certificats d'attributs privilégiés (PAC). La meilleure méthode de mise à jour du mot de passe consiste à étudier et à exécuter le script de réinitialisation du mot de passe du compte krbtgt (fourni par Jorge de Almeida Pinto, MVP de Microsoft, il s'agit d'un script de réinitialisation continuellement mis à jour), qui permet également aux organisations de valider que tous les DC inscriptibles du domaine ont répliqué les clés dérivées du nouveau hachage du mot de passe. Changer le mot de passe krbtgt tous les 180 jours est une bonne pratique. Toutefois, les équipes AD devraient également envisager de le modifier chaque fois qu'un employé susceptible de créer un ticket d'or quitte l'organisation. Cette mesure réduit le risque qu'un ancien employé mécontent utilise un faux ticket à des fins malveillantes. Il est important de se rappeler que si une attaque par ticket d'or est détectée, le mot de passe devra être réinitialisé deux fois pour atténuer l'attaque. Pourquoi ? Parce que le compte krbtgt se souvient des deux mots de passe précédents, de sorte que la réinitialisation du mot de passe est nécessaire pour empêcher un autre DC d'utiliser un ancien mot de passe pour répliquer avec le DC affecté. Il faut donc prendre son temps et s'assurer que la première mise à jour s'est propagée à tous les centres de données.

Construire une défense solide contre les attaques du Golden Ticket

Il est difficile d'atténuer les effets d'une attaque de type "Golden Ticket" et d'y répondre. Cependant, comme ces attaques peuvent ouvrir la voie à des vols de données à grande échelle et à des ransomwares, il est vital de prendre en compte les attaques de type "Golden Ticket" dans vos scénarios de reprise après sinistre et de réponse aux incidents.

Veillez à ce que l'étendue de l'activité des attaquants ait été déterminée avant de reconstruire les systèmes affectés et de réinitialiser les comptes, afin de faire savoir à l'attaquant que vous avez détecté son activité. Veillez à disposer d'une sauvegarde hors ligne et, dans l'idéal, d'une forêt isolée récupérée, de sorte que si l'attaquant fait exploser la charge utile du ransomware, vous disposiez toujours d'une forêt AD viable. Ce n'est qu'en comprenant pleinement les dommages causés que les organisations peuvent être sûres d'avoir complètement fermé la porte aux attaquants et de les avoir empêchés de s'implanter.