Les attaques de type Golden Ticket sont particulièrement astucieuses. Comme le Kerberoasting, les attaques Golden Ticket exploitent le système d'authentification Kerberos et constituent l'une des menaces les plus graves pour les environnements Active Directory. Voici plus d'informations sur ce type d'attaque et sur la manière dont vous pouvez défendre votre environnement Active Directory.
Qu'est-ce qu'un attentat au ticket d'or ?
Les attaques de type "Golden Ticket " utilisent un faux ticket Kerberos (TGT) pour obtenir un accès illimité aux services ou aux ressources d'un domaine Active Directory. Contrairement aux attaques dans lesquelles les acteurs de la menace déchiffrent les tickets existants, les attaquants du Golden Ticket créent et utilisent des tickets contrefaits pour se faire passer pour un utilisateur au sein du réseau.
Cette astuce permet aux attaquants d'obtenir des tickets de service Kerberos pour diverses ressources. Les acteurs de la menace peuvent utiliser cette autorité non vérifiée pour infiltrer les systèmes du réseau, en contournant les contrôles d'accès et d'authentification conventionnels.
Avant de nous pencher plus en détail sur le fonctionnement de ces attaques et sur la manière dont vous pouvez défendre Active Directory contre elles, il peut être utile de revoir les principes de base de la cybersécurité.
Lecture connexe : Réduire la surface d'attaque de l'Active Directory
Qu'est-ce que Kerberos ?
Kerberos est le protocole d'authentification par défaut dans Active Directory. Ce protocole d'authentification réseau utilise la cryptographie à clé secrète et est essentiel pour garantir que les utilisateurs et les services puissent se faire confiance dans un environnement réseau. Kerberos utilise différents types d'entités cryptographiques, appelées tickets, pour authentifier les utilisateurs ou les services sans envoyer de mots de passe sur le réseau. (Pour en savoir plus sur Kerberos et les tickets Kerberos, cliquez ici).
Lorsque l'authentification est réussie, le centre de distribution de clés (Key Distribution Center - KDC) accorde à l'utilisateur un ticket d'accès (Ticket Granting Ticket - TGT). Les TGT autorisent les utilisateurs à demander des tickets de service qui leur permettent d'accéder à des applications telles que des serveurs de fichiers ou des bases de données.
Qu'est-ce que le compte KRBTGT ?
Le compte KRBTGT, un compte utilisateur intégré à Active Directory, joue un rôle essentiel dans le protocole d'authentification Kerberos. Le mot de passe du compte est généré par le système et n'est pas modifié automatiquement.
Le KDC utilise le compte KRBTGT sur chaque contrôleur de domaine (DC) pour crypter les TGT avec le hachage NTLM de ce compte. Lorsqu'un utilisateur demande un ticket de service pour accéder à une ressource, le KDC utilise ce hachage pour valider le TGT présenté. En d'autres termes, le hachage du mot de passe du compte KRBTGT est utilisé pour signer tous les tickets Kerberos du domaine.
Le compte KRBTGT est désactivé à des fins de connexion et doit le rester. L'objectif de ce compte est uniquement de faciliter l'authentification Kerberos au sein du domaine Active Directory. Protégez le compte KRBTGT. La compromission de ce compte peut entraîner de graves failles de sécurité, notamment des attaques de type "Golden Ticket".
Qu'est-ce que Mimikatz ?
Mimikatz est un puissant utilitaire open-source, créé par Benjamin Delpy. Il a développé cet outil pour expérimenter la sécurité de Windows et pour mieux comprendre comment les identifiants Windows sont stockés et transmis sur le réseau.
Cependant, Mimikatz est rapidement devenu tristement célèbre dans la communauté de la cybersécurité en raison de sa capacité à exploiter diverses failles de sécurité de Windows. La plupart de ces failles concernent la manière dont Windows gère l'authentification et les informations d'identification en mémoire.
Mimikatz est capable d'extraire de la mémoire des mots de passe en clair, des hachages et des tickets Kerberos. En fait, cet outil est un guichet unique pour tous ceux qui souhaitent compromettre les mesures de sécurité d'Active Directory. Mimikatz peut extraire des informations d'identification et des tickets d'authentification directement de la mémoire vive, où ils se trouvent parfois en clair. Mimikatz peut tirer parti de ces éléments pour contourner les procédures d'authentification habituelles, ce qui permet aux attaquants d'obtenir un accès étendu à Active Directory.
Mimikatz est souvent utilisé dans des scénarios de post-exploitation. Une fois que les attaquants ont pris pied dans votre réseau, ils essaient généralement d'accroître leurs privilèges ou de se déplacer latéralement pour trouver des cibles de grande valeur.
Comment fonctionnent les attaques au moyen du billet d'or ?
Dans une attaque de type Golden Ticket, l'attaquant utilise un outil comme Mimikatz pour extraire le hachage du mot de passe de KRBTGT. Il peut utiliser ce hachage pour chiffrer un TGT Kerberos falsifié, en lui donnant l'accès ou la durée de vie qu'il souhaite. L'attaquant utilise le hachage pour "prouver" au KDC que le ticket est valide. Ce TGT fabriqué permet à l'attaquant d'accéder sans restriction à n'importe quel service ou ressource au sein d'un domaine Active Directory.
Les attaques de type "Golden Ticket" comportent plusieurs étapes complexes. Ces attaques requièrent une certaine sophistication et une connaissance des rouages d'Active Directory et de l'authentification Kerberos. Examinons les principales étapes d'une attaque de type "Golden Ticket".
- Infiltration de domaine. À ce stade initial, l'attaquant trouve un moyen de pénétrer dans le réseau de votre organisation. L'objectif premier est de prendre pied dans le réseau. Une reconnaissance détaillée peut alors être effectuée pour comprendre la topologie du réseau et identifier les cibles lucratives. L'infiltration peut être orchestrée à l'aide d'une série de stratégies, notamment
- Exploiter les vulnérabilités connues du système
- Campagnes d'hameçonnage ciblant des employés peu méfiants
- L'escalade des privilèges. Après l'infiltration, l'attaquant se concentre sur l'escalade de ses privilèges au sein de votre réseau. Cette phase implique généralement une série de tactiques visant à acquérir progressivement des droits élevés. Le but ultime est d'obtenir les privilèges d'administrateur de domaine. Ces droits ouvrent la porte au cœur de votre environnement Active Directory. Avec les privilèges d'administrateur de domaine, l'attaquant dispose des autorisations nécessaires pour se connecter à un DC, cibler la base de données Active Directory (fichier NTDS.dit) et utiliser des outils puissants tels que Mimikatz pour atteindre ses objectifs.
- compromission du hachage KRBTGT. À ce moment crucial, le pirate compromet le compte KRBTGT de votre domaine. En utilisant un outil comme Mimikatz pour extraire le hachage KRBTGT, un attaquant qui a obtenu des droits d'administrateur de domaine peut utiliser Mimikatz pour récolter les données de hachage de la mémoire du système ou de la base de données AD NTDS.DIT. Après avoir compromis le hachage KRBTGT, l'attaquant peut manipuler le mécanisme d'authentification à son avantage.
- Création de TGT. Avec le hachage KRBTGT en sa possession, l'attaquant crée des TGT - des "Golden Tickets" pour tout compte d'utilisateur dans le domaine, y compris ceux qui ont des privilèges administratifs dans le domaine. Ces TGT contiennent des informations d'identification fabriquées, mais sont signés avec le hachage KRBTGT légitime, ce qui les fait apparaître comme authentiques aux yeux du service Kerberos. L'attaquant dispose désormais d'un accès pratiquement illimité à l'ensemble du domaine. Il peut se faire passer pour n'importe quel utilisateur et définir des propriétés de ticket favorables, y compris des durées de vie extrêmement longues, garantissant ainsi la persistance dans votre environnement.
- Génération de tickets de service. La dernière étape de l'attaque Golden Ticket consiste à générer des tickets de service à partir des TGT frauduleux. À l'aide des TGT falsifiés, l'attaquant peut demander des tickets de service pour n'importe quel service disponible dans le domaine, sans qu'il soit nécessaire de procéder à une authentification supplémentaire. L'attaquant obtient ainsi un laissez-passer pour accéder à n'importe quelle ressource du réseau, sans être détecté. Il peut générer en permanence des tickets de service valides qui lui permettent d'effectuer des mouvements latéraux importants, d'exfiltrer des données et de s'implanter davantage dans les systèmes de votre réseau.
Comment pouvez-vous vous défendre contre les attaques du ticket d'or ?
Vous pouvez constater que les attaques de type Golden Ticket constituent une menace persistante et furtive pour votre organisation. Certains outils et stratégies peuvent vous aider à atténuer ces attaques pernicieuses et à vous en défendre :
- Surveiller l'activité des tickets Kerberos
- Audit de l'Active Directory et des journaux système
- Déployer des outils de sécurité pour les points d'accès
- Utiliser Credential Guard
- Gérer avec soin le mot de passe du compte KRBTGT
- Appliquer le principe du moindre privilège
- Adopter des outils et des stratégies efficaces de détection et de réponse aux menaces liées à l'identité (ITDR)
Explorons ces méthodes.
Surveiller les activités anormales des tickets Kerberos
Gardez un œil vigilant sur l'activité entourant les tickets Kerberos au sein de votre réseau. Examinez régulièrement les propriétés et les schémas d'utilisation de ces tickets. Cela peut vous aider à repérer des irrégularités susceptibles de signaler une attaque par ticket d'or. Par exemple, surveillez les tickets dont la durée de vie est anormalement longue ou les tickets qui accordent des privilèges inattendus.
Audit de l'Active Directory et des journaux système
Vérifier activement et régulièrement votre Active Directory et les journaux du système pour détecter toute activité suspecte, telle que
- Élévation inattendue des privilèges
- Manipulation de jetons
- Lecture de la mémoire du sous-système de l'autorité locale de sécurité (LSASS)
La détection d'un accès inhabituel ou de la manipulation d'informations d'identification stockées peut vous aider à contrer les attaquants à un stade précoce du cycle de vie de l'attaque.
Déployer des outils de sécurité pour les points d'accès
Les plateformes de protection des points finaux (EPP) et les outils de détection et de réponse aux points finaux (EDR) identifient et bloquent les signatures d'outils malveillants. Ces plates-formes peuvent également détecter un comportement inhabituel qui pourrait indiquer une vidange d'informations d'identification, un acte fréquemment observé dans les premières phases d'une attaque de type "Golden Ticket".
Mise en place d'un système de protection des données (Credential Guard)
Credential Guard, une fonctionnalité des systèmes Windows modernes, utilise la sécurité basée sur la virtualisation pour isoler les données sensibles. Cette fonction limite l'accès à ces données aux seuls logiciels système privilégiés. Cette mesure peut décourager considérablement les attaquants en les empêchant d'accéder à la mémoire LSASS pour récupérer des informations d'identification.
Gérer le mot de passe du compte KRBTGT
Changez le mot de passe du compte KRBTGT deux fois de suite pour tenir compte de la capacité de Kerberos à se souvenir des deux derniers mots de passe. Cette étape peut aider à invalider les hachages volés, les rendant inutiles pour créer des billets d'or.
Appliquer le principe du moindre privilège
Le modèle du moindre privilège attribue un accès ou des autorisations minimales aux utilisateurs et aux systèmes. En bref, il s'agit de limiter les droits à ce qui est essentiel pour que les utilisateurs ou les systèmes puissent remplir leur rôle ou leur fonction. Surveiller étroitement les activités des comptes privilégiés et remédier rapidement à tout écart par rapport aux schémas habituels.
Adopter des solutions ITDR avancées
Les solutions capables de repérer les schémas d'utilisation du ticket d'or peuvent accélérer la détection des attaques. Plus tôt vous pouvez détecter les attaques potentielles, plus tôt vous pouvez réagir et atténuer les dommages.
Ces solutions font appel à des algorithmes et à la reconnaissance des formes pour identifier l'utilisation des billets d'or dans le réseau. Par exemple, Purple Knight et Semperis Directory Services Protector ( DSP) recherchent des indicateurs d'exposition (IOE) et des indicateurs de compromission (IOC) liés à l'exploitation de Kerberos. Mieux encore, DSP peut automatiser le retour en arrière des activités suspectes dans Active Directory jusqu'à ce qu'elles puissent être examinées et vérifiées comme étant légitimes.
Sécuriser Active Directory pour éviter les attaques de type "Golden Ticket
L'audace et l'efficacité de l'attaque Golden Ticket sont préoccupantes. Les attaquants peuvent utiliser cette attaque non seulement pour pénétrer dans votre environnement, mais aussi pour se transformer en super-utilisateurs capables de manipuler le réseau de manière intensive et discrète. Ils peuvent accéder à des données confidentielles, modifier les autorisations des utilisateurs ou exécuter des tâches malveillantes, tout en apparaissant comme une entité légitime du réseau.
En comprenant les étapes d'une attaque de type "Golden Ticket", vous pouvez être mieux préparé à faire face à de telles menaces. L'infiltration initiale et l'escalade des privilèges sont les précurseurs des dernières étapes dévastatrices de l'attaque. Autre précaution : Veillez à conserver une sauvegarde dédiée à Active Directory, découplée du système d'exploitation, afin de vous prémunir contre la persévérance des logiciels malveillants si vous devez récupérer AD dans le pire des cas.
Les entreprises doivent être vigilantes. Des protocoles de sécurité rigoureux, une surveillance continue de la surface d'attaque d'Active Directory et la formation peuvent aider vos équipes informatiques et de sécurité à reconnaître les premiers signes d'une attaque par Golden Ticket et d'autres exploits centrés sur Kerberos.