De nombreuses attaques contre Active Directory commencent par le vol d'un mot de passe. Cependant, une attaque de type "Pass the Hash" adopte une approche différente. Dans cet exemple de vol d'informations d'identification, les acteurs de la menace volent le hachage du mot de passe d'un utilisateur. Cette attaque est difficile à détecter et peut conduire à une escalade des privilèges et à de graves dommages pour votre organisation.
Lecture connexe : Meilleures pratiques pour la sécurité d'Active Directory
Qu'est-ce qu'une attaque de type "Pass the Hash" ?
L'attaque "Pass the Hash" est très répandue dans les environnements Windows. Elle exploite le mécanisme d'authentification du système d'exploitation Windows.
Pour éviter de stocker des mots de passe en clair, Windows conserve les hachages NTLM des mots de passe des utilisateurs. Au cours du processus d'authentification, Windows compare ces hachages plutôt que les mots de passe en clair. L'attaque Pass the Hash exploite ce mécanisme.
Au lieu de voler et d'utiliser des mots de passe en clair, les adversaires se concentrent sur l'obtention et l'utilisation des hachages pour s'authentifier sur diverses ressources du réseau. L'attaque Pass the Hash est furtive et très efficace.
Qu'est-ce qu'un hachage de mot de passe ?
Un hachage de mot de passe est un processus cryptographique à sens unique. Ce processus fait passer un mot de passe en clair par une fonction mathématique (c'est-à-dire une fonction de hachage) pour créer une chaîne d'octets de taille fixe, appelée valeur de hachage (ou simplement hachage). Cette valeur de hachage est ensuite comparée à la valeur de hachage stockée du mot de passe de l'utilisateur. Si les deux correspondent, l'authentification est accordée. Il est impossible d'obtenir le mot de passe original à partir d'un hachage. C'est donc un bon moyen de stocker les mots de passe dans une base de données (comme la base de données Active Directory NTDS.DIT).
Comment fonctionne l'attaque "Pass the Hash" ?
Dans une attaque de type "Pass the Hash", un attaquant commence par accéder au hash d'un utilisateur, souvent en vidant le contenu de la base de données SAM du système ou de la mémoire, à l'aide d'outils tels que Mimikatz. Il peut ensuite réutiliser ce hachage pour s'authentifier auprès d'autres services ou machines du réseau, sans avoir besoin de mot de passe.
Voici une description étape par étape du processus d'attaque "Pass the Hash" :
- Compromis initial. Un attaquant obtient un accès initial à un système au sein de votre réseau. Diverses méthodes peuvent être utilisées, notamment l'hameçonnage, l'exploitation de vulnérabilités ou même l'accès physique.
- Extraction de hachages. Une fois que l'attaquant a pris pied, il utilise un outil comme Mimikatz pour extraire les hachages du système. Ces hachages peuvent résider dans la mémoire (RAM) ou dans la base de données du Security Account Manager (SAM), en fonction du statut de connexion de l'utilisateur et du niveau d'accès de l'attaquant.
- Transmission du hachage. Avec un ou plusieurs hachages en sa possession, l'attaquant peut maintenant utiliser un hachage pour l'authentification. Il utilise un outil comme PsExec (ou même des outils Windows intégrés) pour présenter le hachage comme preuve d'identité et accéder à des systèmes distants. C'est de là que vient le nom "Pass the Hash".
- Mouvement latéral. À l'aide du hachage obtenu, le pirate tente de se déplacer latéralement au sein de votre réseau. Il utilise le hachage pour accéder à d'autres systèmes à la recherche de privilèges élevés ou de données précieuses. Si les utilisateurs ont des privilèges excessifs ou si les mêmes informations d'identification sont utilisées sur plusieurs systèmes, le mouvement latéral est beaucoup plus facile à réaliser et beaucoup plus dangereux pour votre organisation.
- Augmentation des privilèges. Souvent, l'attaquant utilise la technique "Pass the Hash" à plusieurs reprises. Il passe d'une machine à l'autre jusqu'à ce qu'il trouve un compte disposant de privilèges plus élevés, tel qu'un administrateur de domaine.
- Objectif final. Après avoir obtenu une élévation suffisante des privilèges et de l'accès, l'attaquant peut agir en fonction de son objectif final. Sa cible peut être le vol de données, le déploiement d'un ransomware ou le maintien d'une présence persistante en vue d'une exploitation future.
Le succès de la technique "Pass the Hash" repose sur plusieurs aspects critiques :
- La dépendance inhérente de Windows à l'égard de la comparaison de hachages pour l'authentification
- Défauts de configuration courants
- Des pratiques de sécurité laxistes, telles que l'octroi à des utilisateurs de droits d'administration locaux sur plusieurs machines ou la réutilisation de mots de passe dans toute l'entreprise.
Quels sont les risques associés à une attaque de type "Pass the Hash" ?
Ce type d'attaque peut menacer votre organisation de plusieurs façons :
- Réutilisation des identifiants : si un pirate compromet le hachage d'un compte qui utilise les mêmes identifiants dans plusieurs services, il peut accéder à tous ces services.
- Mouvement latéral : Une fois à l'intérieur de votre réseau, les attaquants peuvent utiliser Pass the Hash pour s'y déplacer latéralement, accéder à différentes machines et élever leurs privilèges.
- Accès à long terme : Avec le hachage, les attaquants peuvent conserver un accès permanent à un réseau compromis, ce qui complique la détection et la correction.
Les réseaux basés sur Windows sont particulièrement vulnérables, notamment les réseaux qui.. :
- S'appuyer fortement sur l'authentification NTLM
- Avoir des réseaux plats sans segmentation adéquate
- Absence de politiques solides en matière de mots de passe et de sécurité
- Ne pas contrôler ou auditer régulièrement Active Directory
Comment détecter une attaque de type "Pass the Hash" ?
La détection d'une attaque de type "Pass the Hash" implique l'identification de comportements ou d'activités inhabituels sur le réseau. Surveillez Active Directory pour détecter ces types d'activité :
- Modèles de connexion anormaux. Recherchez des schémas de connexion anormaux, tels que des connexions à des heures ou à partir d'endroits inhabituels. Surveillez également les connexions rapides d'une source à plusieurs systèmes.
- Création de services inhabituels. Une attaque de type "Pass the Hash" peut impliquer la création de services sur des systèmes distants à l'aide d'outils tels que PsExec. Par conséquent, le suivi des créations de services inattendues peut être un bon indicateur de cette attaque.
- Le grattage de la mémoire. Les outils comme Mimikatz fonctionnent en fouillant la mémoire à la recherche de hachages. Surveillez les processus qui lisent de grandes sections de mémoire, en particulier à partir de lsass.exe.
- Volume des demandes d'authentification. Une augmentation des demandes d'authentification sur une courte période peut indiquer une tentative de "Pass the Hash", en particulier si de nombreuses demandes échouent puis réussissent soudainement.
Les solutions modernes de détection et de réponse des terminaux (EDR) peuvent également aider à suivre les modèles de comportement et à signaler les activités suspectes souvent associées aux techniques d'attaque "Pass the Hash".
Comment se défendre contre une attaque de type "Pass the Hast" ?
L'atténuation d'une attaque de type "Pass the Hash" dépend de la limitation de la capacité de l'attaquant à obtenir et à utiliser des hachages. Voici six mesures à prendre.
- Utiliser la hiérarchisation administrative. Les administrateurs de comptes de niveau 0, hautement privilégiés, tels que Active Directory, ne devraient jamais se connecter aux ressources de niveau 1 (serveurs et applications) ou de niveau 2 (postes de travail des utilisateurs finaux). En empêchant ce type de comportement, on réduit le risque que des pirates récoltent les informations d'identification des administrateurs.
- Isoler les systèmes. Veillez à ce que les systèmes critiques se trouvent sur des réseaux isolés. Un attaquant disposant d'un hash provenant d'un système moins critique ne devrait pas être en mesure d'accéder à un système plus critique.
- Mettre en œuvre la solution de mot de passe de l'administrateur local (LAPS) de Microsoft. LAPS garantit des mots de passe uniques pour les comptes d'administrateurs locaux dans toute l'entreprise.
- Appliquer le principe du moindre privilège. N'accordez aux utilisateurs que les autorisations nécessaires à l'accomplissement de leurs tâches quotidiennes. Par exemple, évitez de faire de chaque utilisateur un administrateur local sur sa machine.
- Installez Credential Guard. Sur Windows 10 et Windows Server 2016 et les systèmes ultérieurs, utilisez Credential Guard pour vous protéger contre une attaque Pass the Hash en isolant et en durcissant le processus de stockage des informations d'identification.
- Restreindre l'utilisation des anciens protocoles. Désactiver les anciens protocoles d'authentification, qui peuvent être plus sensibles à une attaque de type "Pass the Hash". Par exemple, passer de l'authentification NTLM à l'authentification Kerberos.
Autre tactique de défense vitale : maintenir un niveau de sécurité élevé pour Active Directory. Voici 10 mesures destinées aux administrateurs d'Active Directory.
- Auditer régulièrement Active Directory. Surveillez Active Directory pour détecter tout signe d'activité inhabituelle ou non autorisée. Vérifier régulièrement Active Directory pour détecter les comptes périmés ou inutilisés et les supprimer ou les désactiver.
- Mettre en œuvre l'authentification multifactorielle (MFA). En particulier pour les comptes à privilèges, l'AMF ajoute une couche supplémentaire de sécurité. Toutefois, veillez à surveiller également les indicateurs de sécurité qui pourraient indiquer des attaques de fatigue de l'AMF.
- Surveillez les changements d'appartenance à un groupe. Suivez les modifications apportées aux groupes Active Directory sensibles, tels que les administrateurs de domaine. Les changements inattendus doivent être un signal d'alarme. L'automatisation de l'audit et des mesures correctives peut vous aider à garder une longueur d'avance sur les attaques sophistiquées et furtives.
- Appliquer des lignes de base de sécurité. Mettre en œuvre les lignes de base de sécurité Microsoft pour Active Directory et Group Policy.
- Maintenir vos systèmes à jour. Veillez à ce que les correctifs soient apportés en temps voulu aux systèmes et aux logiciels.
- Séparer les tâches administratives. Utilisez des comptes distincts pour les différentes tâches administratives et évitez les chevauchements. Par exemple, utilisez des comptes différents pour les tâches d'administration du domaine, les tâches d'administration des stations de travail, etc.
- Évitez d'utiliser des comptes partagés. Les comptes partagés rendent difficile le suivi des actions jusqu'à la personne concernée. Chaque administrateur doit disposer d'un compte individuel.
- Limiter la connexion des administrateurs. Associée à la hiérarchisation administrative, cette fonction permet de limiter le lieu et le moment où les comptes d'administration peuvent se connecter. Par exemple, les comptes d'administration de domaine ne doivent se connecter qu'aux contrôleurs de domaine.
- Effectuer régulièrement des sauvegardes spécifiques à AD. Assurez des sauvegardes régulières des contrôleurs de domaine et mettez en place un plan de reprise. La séparation des sauvegardes de l'Active Directory peut vous aider à éviter la réintroduction de logiciels malveillants.
- Éduquer et former le personnel et les utilisateurs. Formez en permanence votre équipe informatique aux dernières menaces et à la manière de les reconnaître et d'y répondre. Sensibilisez les utilisateurs aux risques associés à des attaques telles que Pass the Hash et aux politiques et pratiques de sécurité de votre organisation.
Se défendre contre les attaques par vol de données d'identification
L'attaque "Pass the Hash" constitue un formidable défi pour de nombreuses organisations. En exploitant les méthodes inhérentes à Windows pour gérer l'authentification, les attaquants peuvent contourner le besoin de mots de passe en texte clair, obtenant ainsi un accès non autorisé à plusieurs systèmes. En comprenant les nuances de ces attaques, les professionnels de la sécurité et de l'informatique peuvent renforcer leurs défenses et rendre leurs réseaux plus résistants face à l'évolution des défis.
Des systèmes correctement configurés, la formation des utilisateurs et la vigilance en matière de surveillance des terminaux et de l'Active Directory peuvent contribuer à atténuer les risques liés à cette attaque. Commencez par suivre les meilleures pratiques en matière de sécurité de l'Active Directory.