Daniel Petri | Gestionnaire principal de la formation

Toute organisation qui s'appuie sur l'authentification Kerberos - la principale méthode d'authentification dans les environnements Active Directory - est potentiellement vulnérable à une attaque de type "Pass the Ticket". Les organisations qui ne corrigent pas régulièrement leurs systèmes, qui ne surveillent pas et ne sécurisent pas Active Directory et qui n'appliquent pas des mesures de sécurité strictes pour la protection des informations d'identification et des tickets courent un risque plus élevé. Voyons comment détecter et se défendre contre une attaque de type "Pass the Ticket".

Qu'est-ce qu'une attaque de type "Pass the Ticket" ?

L'attaque Pass the Ticket est une tactique sophistiquée. Les acteurs de la menace utilisent cette attaque pour obtenir un accès non autorisé aux ressources du réseau dans les environnements qui utilisent Kerberos, le protocole d'authentification par défaut dans Active Directory.

Contrairement aux attaques basées sur les mots de passe, l'attaque Pass the Ticket exploite le ticket d'attribution de ticket (TGT) et les tickets de service dans le cadre du processus d'authentification Kerberos. En capturant et en réutilisant ces tickets, les attaquants peuvent se faire passer pour des utilisateurs légitimes, sans avoir besoin de leurs véritables informations d'identification.

Les attaquants utilisent souvent l'attaque Pass the Ticket en tandem avec d'autres techniques dans le cadre d'attaques en plusieurs étapes. Après avoir utilisé une attaque Pass the Ticket pour accéder à votre réseau, les acteurs de la menace peuvent déployer des ransomwares, créer des portes dérobées ou établir des serveurs de commande et de contrôle pour une exploitation et une persistance à long terme. La polyvalence et la nature furtive de cette attaque en font une technique privilégiée par les opérateurs de menaces persistantes avancées (APT) et d'autres attaquants sophistiqués.

Lecture associée : Protéger Active Directory contre le Kerberoasting

Comment fonctionne une attaque de type "Pass the Ticket" ?

Dans une attaque de type "Pass the Ticket", l'attaquant compromet d'abord le système ou l'appareil d'un utilisateur. À l'aide d'outils tels que Mimikatz, Kekeo, Rubeus ou Creddump7, il extrait les TGT Kerberos ou les tickets de service de la mémoire LSASS.

Avec ces tickets en main, l'attaquant peut alors :

  • Présenter un billet volé pour accéder aux ressources pour lesquelles le billet est valable.
  • Se déplacer latéralement dans le réseau, en accédant aux systèmes et aux services en tant qu'utilisateur compromis.
  • Tentative d'escalade des privilèges en capturant le ticket d'un utilisateur ayant des privilèges plus élevés.

La détection d'une attaque de type "Pass the Ticket" est un défi. Comme l'attaquant utilise des tickets légitimes, ces actions apparaissent souvent comme des activités authentiques de l'utilisateur.

Notez qu'une attaque de type "Pass the Ticket" implique l'exploitation de tickets Kerberos - en particulier le TGT - qui ont une durée de vie de 10 heures (600 minutes) par défaut et peuvent être renouvelés pendant 7 jours. L'attaquant doit donc utiliser le ticket pendant cette période.

Quels sont les risques associés à une attaque de type "Pass the Ticket" ?

Le principal risque d'une attaque de type "Pass the Ticket" est l'accès non autorisé. En utilisant un ticket valide, les attaquants peuvent contourner les mécanismes d'authentification traditionnels et accéder aux données, applications et services sensibles. La nature furtive de l'attaque permet aux adversaires de persister au sein d'un réseau pendant de longues périodes sans être détectés. Prenons les exemples de scénarios suivants.

Compromis initial

Un attaquant réussit à hameçonner un employé de bas niveau et à accéder à son poste de travail. À l'aide d'un outil comme Mimikatz ou Rubeus, il extrait les tickets Kerberos de la mémoire du système. Il utilise ces tickets pour accéder aux partages du réseau, aux bases de données ou à d'autres ressources pour lesquelles l'employé dispose d'autorisations.

Mouvement latéral

Après avoir compromis une machine, un pirate capture le ticket Kerberos d'un membre du personnel informatique qui s'est récemment connecté à cette machine. À l'aide de ce ticket, le pirate se déplace vers une autre machine ou un autre serveur auquel ce membre du personnel informatique a accès, élargissant ainsi son empreinte au sein de l'organisation. L'attaquant peut utiliser le ticket pour récupérer des informations ou des systèmes confidentiels ou pour exécuter des actions nuisibles telles que le déploiement de logiciels malveillants, la création de nouveaux comptes d'utilisateurs ou la modification de configurations.

L'escalade des privilèges

À partir du poste de travail d'un utilisateur compromis, un pirate capture un ticket de service d'un administrateur qui a effectué une tâche sur le poste de travail. À l'aide de ce ticket, le pirate escalade ses privilèges au sein du réseau et accède à des serveurs sensibles, dont un contrôleur de domaine Active Directory.

Exfiltration de données

Après avoir obtenu un ticket valide, un pirate accède à un serveur de base de données. Il exfiltre ensuite des données sensibles, y compris des informations sur les clients ou la propriété intellectuelle, sans jamais avoir besoin de déchiffrer un mot de passe ou de compromettre directement le serveur.

Persistance furtive

Au lieu d'utiliser des logiciels malveillants ou d'autres outils susceptibles de déclencher un logiciel antivirus, un attaquant conserve l'accès au réseau en utilisant des tickets volés, en les actualisant au besoin et en accédant aux ressources sans déclencher d'alarme.

Compromettre les ressources du nuage

Une organisation utilise l'authentification unique (SSO) et intègre son Active Directory sur site avec des services en nuage. Un pirate obtient un ticket et peut alors accéder aux ressources en nuage, y compris le stockage et les bases de données, ce qui entraîne des violations de données.

Comment détecter une attaque de type "Pass the Ticket" ?

La détection d'une attaque de type "Pass the Ticket" peut s'avérer difficile. L'apparence légitime des activités basées sur les tickets complique la tâche.

Les stratégies de détection suivantes peuvent vous aider à détecter ce type d'attaque :

  • Détection des anomalies. Surveillez les schémas d'accès ou les activités inhabituelles pendant les heures creuses. Ces schémas peuvent indiquer des intentions malveillantes.
  • Surveiller les événements d'authentification. Contrôlez tous les événements d'authentification Kerberos et vérifiez qu'ils ne présentent pas d'anomalie. Effectuez cet audit sur les terminaux et les contrôleurs de domaine.
  • Durée de vie des tickets. Suivez l'âge des tickets et définissez des alertes pour les tickets qui sont utilisés au-delà de leur durée de vie.
  • Outils de surveillance. Utilisez des solutions de détection des menaces avancées qui peuvent reconnaître les schémas d'attaque "Pass the Ticket". Surveillez également l'utilisation d'outils tels que Mimikatz, Kekeo, Rubeus et Creddump7.

Les environnements à grande échelle utilisent souvent un système de gestion des informations et des événements de sécurité (SIEM) ou un autre mécanisme de filtrage et d'alerte pour analyser les journaux d'événements et alerter les administrateurs en fonction des événements de connexion. Cependant, certaines attaques sont capables de dissimuler toute trace de leur comportement dans Active Directory. Ces attaques peuvent échapper à la détection du SIEM.

Comment se défendre contre une attaque de type "Pass the Ticket" ?

L'atténuation se concentre à la fois sur la prévention et la limitation :

  • Limiter la durée de vie des tickets. Réduire la durée de vie des TGT et des tickets de service. La durée de vie par défaut des tickets est de 600 minutes (10 heures).
  • Apporter régulièrement des correctifs aux systèmes. Vérifiez que tous les systèmes, en particulier les contrôleurs de domaine, sont régulièrement corrigés.
  • Protéger les comptes à privilèges. Limitez le nombre de comptes privilégiés et utilisez l'authentification multifactorielle (MFA).
  • Contrôler et auditer Active Directory. Examiner et auditer régulièrement les journaux d'Active Directory. Configurez des alertes en cas d'activités suspectes. Mieux encore, déployez une solution conçue pour sécuriser Active Directory et surveiller le flux de réplication d'Active Directory plutôt que de dépendre des journaux.

Pour se défendre contre l'attaque Pass the Ticket et d'autres attaques liées à Kerberos, les administrateurs d'Active Directory doivent maintenir un niveau de sécurité élevé :

  • Mettre en œuvre le mode Admin restreint. Cette étape permet d'éviter que les informations d'identification des administrateurs soient stockées en mémoire lorsqu'ils utilisent RDP pour se connecter à un système.
  • Appliquer des lignes de base de sécurité. Mettre en œuvre les lignes de base de sécurité Microsoft pour Active Directory et Group Policy.
  • Maintenir vos systèmes à jour. Veillez à ce que les correctifs soient apportés en temps voulu aux systèmes et aux logiciels.
  • Déployer Credential Guard. Introduit dans Windows 10 et Windows Server 2016 et versions ultérieures, Credential Guard utilise la virtualisation pour sécuriser le stockage des informations d'identification et fournir un accès uniquement aux processus de confiance. Cette fonctionnalité permet également d'isoler et de protéger LSASS des outils d'attaque.
  • Sensibiliser les utilisateurs. Formez les utilisateurs disposant d'un domaine ou d'informations d'identification élevées à éviter de se connecter à des hôtes non fiables.

Défendre les réseaux reposant sur Kerberos pour réduire les risques

L'attaque Pass the Ticket illustre les techniques avancées utilisées par les adversaires modernes pour exploiter des systèmes d'authentification apparemment robustes. En comprenant les mécanismes de l'attaque Pass the Ticket, vous pourrez mieux défendre vos réseaux reposant sur Kerberos.

La meilleure façon de renforcer vos défenses et de réduire considérablement le risque de telles menaces avancées est de prendre des mesures proactives pour sécuriser Active Directory. Ces mesures comprennent une surveillance continue et l'utilisation de solutions robustes de détection et de réponse aux menaces liées à l'identité (ITDR). Un système de surveillance tel que Semperis Directory Services Protector, conçu pour détecter les attaques avancées et automatiser le retour en arrière des changements suspects dans Active Directory, peut apporter une plus grande tranquillité d'esprit face à une tentative d'attaque Pass the Ticket.