Daniel Petri | Gestionnaire principal de la formation

Dans le monde complexe de la cybersécurité, les attaques Golden Ticket et Silver Ticket se distinguent comme deux méthodes astucieuses visant le système d'authentification Kerberos. Bien que ces deux attaques exploitent le même système, leurs approches, leurs objectifs et leurs implications diffèrent. Voici ce qu'il faut savoir sur les attaques de type "Silver Ticket", et notamment en quoi elles diffèrent des attaques de type "Golden Ticket".

Qu'est-ce qu'une attaque au ticket d'argent ?

Un ticket d'argent est un ticket Kerberos Ticket Granting Service (TGS) falsifié pour un service spécifique sur une machine spécifique. Une attaque réussie au moyen d'un ticket d'argent permet à l'auteur de la menace de falsifier un TGS Kerberos spécifique à un service pour n'importe quel service du domaine. Cette approche donne aux attaquants un accès plus restreint que les attaques par ticket d'or, qui permettent aux acteurs de la menace de forger un ticket d'octroi de ticket Kerberos (TGT) pour n'importe quel utilisateur du domaine, donnant ainsi à l'attaquant un accès à l'ensemble du domaine.

Dans les attaques par ticket d'argent, l'accès est limité au service spécifique pour lequel le ticket a été créé. Cependant, le faux ticket n'a pas besoin d'être validé par le KDC après sa création. L'attaque furtive par ticket d'argent n'accorde pas un accès aussi large que son homologue en or, mais elle peut néanmoins causer des dommages importants lorsqu'elle est utilisée pour des services critiques tels que les serveurs de fichiers ou les bases de données.

Par exemple, si un pirate obtient le hachage d'un compte de service SQL Server, il peut créer un ticket Silver pour accéder à l'instance SQL Server. Il peut alors interroger des bases de données ou même injecter des commandes SQL malveillantes, le tout sans avoir à demander un TGS au KDC.

Voici les étapes suivies par les attaquants lors d'une attaque de type "Silver Ticket" :

  1. L'attaquant compromet un compte de service ou un compte de machine pour extraire son hachage NTLM.
  2. À l'aide de ce hachage, l'attaquant crée une STG pour le service spécifié.
  3. L'attaquant présente le TGS pour accéder au service ciblé, sans avoir besoin d'interagir avec le KDC.

Les Golden Tickets et les Silver Tickets sont des attaques de falsification de tickets Kerberos dans les environnements Active Directory. La détection des attaques de type Golden Tickets et Silver Tickets peut s'avérer difficile en raison de l'apparence légitime des tickets falsifiés. Cependant, des indicateurs et des tactiques spécifiques peuvent vous aider à identifier ces attaques.

Comment détecter une attaque par ticket d'argent ?

  • Inadéquation des services : Méfiez-vous des TGS présentés à un service qui n'a pas demandé de validation au KDC. Par exemple, si un TGS pour un serveur SQL est présenté, mais que le KDC n'a pas de trace de l'octroi d'un tel ticket, soyez très méfiant.
  • Journaux d'événements : L'ID d'événement Windows 4769 (sur la machine du service ciblé) indique l'utilisation d'un ticket de service. Si vous ne voyez pas d'ID d'événement 4768 correspondant (qui montre un TGT présenté au KDC pour un TGS) pour le même compte à proximité, une attaque par ticket d'argent pourrait être en cours.
  • Anomalies dans les métadonnées des tickets : Les faux tickets peuvent contenir des métadonnées ou des autorisations qui ne correspondent pas à votre base organisationnelle ou à vos configurations standard.
  • Comportement anormal des services : Recherchez les services auxquels vous accédez à des heures bizarres ou par des comptes qui ne les utilisent pas habituellement.

En quoi les attaques au moyen de billets d'argent diffèrent-elles des attaques au moyen de billets d'or ?

Comme le Silver Ticket, le Golden Ticket est un faux Ticket Granting Ticket (TGT) que les attaquants créent après avoir accédé au compte KRBTGT du domaine, compte utilisé par le Key Distribution Center (TGTKDC) pour crypter et signer tous les TGT. En d'autres termes, un Silver Ticket est la clé d'une pièce spécifique ; un Golden Ticket est la clé de tout le bâtiment.

Contrairement aux attaques plus spécialisées de type "Silver Ticket", les attaques de type "Golden Ticket" permettent un accès persistant à l'ensemble du domaine. L'attaquant peut se faire passer pour n'importe quel utilisateur, élever ses privilèges et accéder à n'importe quel service tant que le hachage KRBTGT reste inchangé.

La véritable menace d'un ticket d'or réside dans sa grande portée. Les attaquants, une fois équipés d'un ticket d'or, peuvent se déplacer latéralement sur le réseau, accéder à diverses ressources, manipuler les autorisations des utilisateurs et même créer de nouvelles informations d'identification. Le ticket d'or est un passe-partout qui contourne l'authentification standard et confère aux attaquants des privilèges étendus sur le réseau. Par exemple, lorsqu'un attaquant obtient le hachage KRBTGT, il peut créer un TGT pour un administrateur de domaine, puis demander des TGS pour des services tels que les partages de fichiers, le bureau à distance ou tout autre service au sein du domaine.

Les attaques par ticket d'argent diffèrent des attaques par ticket d'or à plusieurs égards :

  • Portée : Les billets d'or fournissent un accès à l'ensemble du domaine, de sorte que les anomalies peuvent être plus répandues. Les billets d'argent ciblent des services spécifiques.
  • Interactions avec le KDC : Les attaques par ticket d'or interagissent plus fréquemment avec le KDC (pour demander des TGS pour différents services) que les attaques par ticket d'argent, qui peuvent contourner le KDC après la création initiale du faux ticket.
  • Enregistrement : Pour les billets d'or, les journaux TGT et TGS doivent être inspectés. Pour les attaques de billets d'argent, l'accent doit être mis sur la surveillance des journaux TGS, en particulier s'ils ne sont pas en corrélation avec les demandes TGT.

Comment pouvez-vous vous défendre contre les attaques des tickets d'argent ?

Pour défendre efficacement votre environnement contre les attaques de Silver Ticket :

  • Appliquer des contrôles d'accès stricts et surveiller les activités des comptes privilégiés. Purple Knight, Forest Druidet Semperis Directory Services Protector (DSP) offrent une visibilité étendue sur Active Directory. Microsoft Advanced Threat Analytics (ATA) peut également aider à détecter les activités suspectes dans les environnements AD.
  • Examinez et auditez régulièrement les journaux Active Directory, de préférence en utilisant une solution de gestion centralisée des journaux ou une solution telle que DSPqui détecte des activités que de nombreux outils de surveillance d'événements ne détectent pas.
  • Mettre en œuvre des solutions de détection des menaces avancées telles que DSPqui analyse et alerte en cas de comportement anormal.

Ne donnez pas de ticket gratuit aux cyberattaquants

Les attaques par ticket d'argent ont une portée plus limitée que l'infâme attaque par ticket d'or, qui peut permettre aux attaquants d'accéder à l'ensemble d'un domaine. Néanmoins, la furtivité de l'attaque par ticket d'argent en fait une menace importante. Les attaques par ticket d'argent contournent la nécessité d'une validation TGT et peuvent rester indétectées à moins que vous ne preniez des mesures d'audit spécifiques. La surveillance des comptes de service et l'application du principe du moindre privilège dans l'ensemble de votre environnement sont des mesures de précaution essentielles.

Les attaques de type "Golden Ticket" et "Silver Ticket" soulignent l'importance d'auditer et de surveiller régulièrement votre environnement Active Directory, d'appliquer les principes du moindre privilège et de garantir des pratiques de sécurité solides en ce qui concerne les comptes de service et les comptes à privilèges.

L'audace même de ces attaques met en évidence les dommages qu'elles peuvent causer. Pour les entreprises, il est essentiel de comprendre ces nuances. Pour réduire le risque, il faut surveiller régulièrement les anomalies des tickets, assurer la synchronisation de l'heure entre les serveurs et vérifier les informations d'identification des comptes de service. En reconnaissant les caractéristiques distinctives des attaques par ticket d'or et d'argent, les entreprises peuvent renforcer leurs défenses, garantissant ainsi un réseau plus résilient contre les exploits basés sur Kerberos.

Ressources complémentaires