Huy Kha | Architecte principal de l'identité et de la sécurité

La détection des attaques par pulvérisation de mots de passe est une capacité vitale pour toutes les organisations. Dans une attaque par pulvérisation de mots de passe, l'attaquant tente d'obtenir un accès non autorisé en essayant quelques mots de passe communs ou faibles sur de nombreux comptes plutôt que de cibler un seul compte avec de nombreux mots de passe. L'idée est de tester plusieurs mots de passe, en espérant que certains utilisateurs ont choisi un mot de passe faible.

Dans le contexte d'Active Directory (AD), les attaques par pulvérisation de mots de passe sont préoccupantes car tout utilisateur authentifié dans un environnement AD peut utiliser LDAP pour interroger des comptes. Cela permet à un attaquant disposant de privilèges minimaux de tenter d'obtenir des mots de passe communs ou faibles pour de nombreux comptes sans déclencher les politiques de verrouillage des comptes(figure 1).

Figure 1. Exemple d'une attaque par pulvérisation de mot de passe en action

Pourquoi la détection de la pulvérisation de mots de passe est-elle vitale ?

Microsoft estime que les attaques par pulvérisation de mots de passe sont responsables de plus d'un tiers de toutes les compromissions de comptes, ce qui souligne la menace que cette méthode représente pour les organisations.

Les attaques par pulvérisation de mots de passe peuvent générer à la fois une activité importante dans les journaux d'événements de sécurité d'un contrôleur de domaine (DC) et un volume important de trafic réseau(figure 2).

Figure 2. Nombre d'échecs de connexion perdus en peu de temps après une attaque par pulvérisation de mot de passe

De nombreux échecs de connexion peuvent être bruyants. Par conséquent, un attaquant peut introduire un délai entre les tentatives dans une attaque par pulvérisation de mot de passe(Figure 3). Comme les journaux d'événements de sécurité des centres de données sont souvent générés en quelques secondes, ce délai permet à l'attaque de se fondre dans l'activité normale, ce qui réduit les chances de détection.

Figure 3. Attaque par pulvérisation de mot de passe montrant les tentatives réussies et échouées avec un délai de 10 secondes.

Les journaux d'un DC montrent que les horodatages de ces tentatives de connexion échouées se produisent à des intervalles réguliers, en raison de l'introduction d'un délai de 10 secondes entre chaque tentative. Cet étalement dans le temps rend l'activité moins suspecte que plusieurs tentatives de connexion échouées qui se produisent simultanément(figure 4).

Figure 4. Journaux d'événements de sécurité montrant des tentatives de connexion échouées lors d'une attaque par pulvérisation de mot de passe, avec un délai de 10 secondes entre chaque tentative.

Pulvérisation de mots de passe à l'aide de la préauthentification Kerberos

L'ajout d'un délai rend une attaque par pulvérisation de mot de passe moins suspecte. Cependant, l'attaque déclenchera toujours l'événement Un compte n'a pas réussi à se connecter sur le DC .

La pré-authentification Kerberos peut rendre plus difficile la détection de la pulvérisation de mot de passe. Les tentatives d'échec qui utilisent ce type de préauthentification ne génèrent pas les événements d'échec de connexion standard dans les journaux d'événements de sécurité. De cette manière, l'attaquant peut deviner les mots de passe sans déclencher les alertes typiques associées aux échecs de connexion(figure 5).

Figure 5. Attaque par pulvérisation de mot de passe utilisant la préauthentification Kerberos avec un délai de 10 secondes

Dans ce type d'attaque, au lieu de voir les événements typiques Un compte n'a pas réussi à se connecter dans les journaux d'événements de sécurité, vous observerez des événements d'échec de la préauthentification Kerberos. Ces événements comprennent la valeur hexagonale 0x18, qui signifie qu'un mot de passe incorrect a été saisi(figure 6).

Figure 6. Journal des échecs de pré-authentification Kerberos avec l'ID d'événement 4771, montrant des tentatives échouées en raison de mots de passe incorrects.

Pulvérisation de mots de passe à l'aide d'intervalles de temps aléatoires

Une autre façon de rendre la détection des attaques par pulvérisation de mot de passe plus difficile est de perturber les modèles prévisibles que les systèmes de sécurité surveillent souvent(figure 7). Ce caractère aléatoire permet à l'attaque de se fondre dans le trafic normal, ce qui complique la détection de l'attaque et la réaction des systèmes et des équipes de sécurité.

Figure 7. Attaque par pulvérisation de mot de passe démontrant des délais aléatoires entre les tentatives

Une attaque par pulvérisation de mot de passe avec des délais aléatoires génère toujours des événements de journal. Cependant, l'irrégularité des délais entre les tentatives peut rendre la détection de l'attaque par pulvérisation de mot de passe plus difficile. Au lieu d'un schéma cohérent, les journaux montrent des tentatives de connexion réparties de manière imprévisible, ce qui rend l'attaque moins visible(figure 8).

Figure 8. Les échecs de connexion se mêlent de manière imprévisible à l'activité normale, ce qui accroît la difficulté de distinguer une attaque par pulvérisation de mot de passe de tentatives de connexion légitimes.

Le même concept peut être appliqué en randomisant les intervalles de délai au cours d'une attaque par pulvérisation de mot de passe qui utilise la préauthentification Kerberos. Étant donné que les événements 4771 ne sont généralement pas surveillés de près, l'introduction de délais aléatoires rend la détection encore plus difficile que ce qui a été évoqué précédemment(figure 9).

Figure 9. Pulvérisation de mots de passe via la pré-authentification Kerberos avec des délais aléatoires, tentant d'imiter un comportement normal.

Comme dans l'exemple précédent, la randomisation des intervalles de temps entre chaque tentative de connexion peut faire passer cette activité pour un comportement normal dans les journaux(figure 10).

Figure 10. Événement 4771 dans les journaux montrant des échecs de pré-authentification Kerberos, qui peuvent se confondre avec l'activité normale en raison de délais aléatoires.

Détection des attaques par pulvérisation de mot de passe avec Lightning Identity Runtime Protection

Identity Runtime Protection (IRP), une fonctionnalité de la Semperis Lighting Platform, utilise divers indicateurs de modèles d'attaques et la détection d'anomalies pour surveiller et détecter les attaques basées sur l'identité. Lightning IRP a généralement besoin de 7 à 10 jours pour apprendre les schémas d'un environnement grâce à l'analyse du comportement.

La figure 11 montre l'IRP Lightning identifiant avec succès deux attaques par pulvérisation de mot de passe. Sur la base de ces alertes, vous pouvez déterminer quels comptes ont été ciblés et les scores de détection correspondants.

Figure 11. Détection de la pulvérisation de mots de passe par l'IRP avec différents niveaux de confiance dans deux cas d'attaque

La figure 12 montre la détection Lightning IRP password spraying d ' une attaque qui a randomisé les intervalles de temps pour chaque tentative de pulvérisation de mot de passe via la pré-authentification Kerberos. Le score de détection est faible dans ce cas car l'attaque a été conçue pour être plus furtive. Cependant, Lighting IRP a été en mesure de détecter le comportement même si le trafic était destiné à paraître typique et à ne pas déclencher d'alarmes.

Figure 12. Détection de pulvérisation de mots de passe montrant les comptes ciblés, le score de détection et l'état de l'attaque

L'exécution d'une attaque par pulvérisation de mot de passe sans randomisation des intervalles de délai se traduit généralement par un score de détection plus élevé, comme le montre la figure 13. Cette méthode est plus susceptible d'être signalée avec un score de détection élevé (100 % dans cet exemple) en raison de sa nature prévisible et bruyante, qui facilite la détection et la catégorisation de l'attaque par pulvérisation de mot de passe.

Figure 13. Résultats de la détection d'une pulvérisation de mot de passe dans le cadre d'une attaque sans intervalles de temps aléatoires.

Recommandations supplémentaires pour la détection des pulvérisations de mots de passe

Pour réduire le risque d'attaques par pulvérisation de mots de passe, il est important d'appliquer des politiques de mot de passe strictes, notamment en mettant en œuvre des mécanismes de verrouillage des comptes (temporaires ou permanents) après plusieurs tentatives de connexion infructueuses consécutives. Les organisations doivent veiller à ce que ces politiques de mot de passe soient appliquées par le biais d'une politique de domaine par défaut ou de politiques de mot de passe plus fines dans Active Directory.

Les organisations qui utilisent Entra ID P1 ou qui disposent des licences Enterprise Mobility + Security (EMS) ou Microsoft 365 appropriées peuvent obtenir une couche de protection supplémentaire en déployant Entra Password Protection ou une solution similaire pour Active Directory. Cet outil empêche de manière proactive les utilisateurs de créer ou d'utiliser des mots de passe faciles à deviner ou qui ont été compromis lors de brèches précédentes. En intégrant cette solution, les organisations peuvent améliorer les chances de détection de la pulvérisation de mots de passe.

La figure 14 montre un exemple dans lequel Entra ID Password Protection a empêché un utilisateur de définir un mot de passe qui n'est pas conforme à la politique actuelle de l'organisation en matière de mot de passe.

Figure 14. La protection par mot de passe Entra ID empêche un utilisateur de définir un mot de passe qui enfreint la politique de mot de passe.

Ressources supplémentaires pour la détection de la pulvérisation de mots de passe