logo

4 attaques de l’Active Directory et comment vous en protéger

Lors d’une rencontre dans une entreprise pharmaceutique mondiale, j’ai récemment eu l’occasion d’échanger avec un ingénieur en sécurité informatique spécialiste de l’Active Directory, et je lui ai posé l’une des questions les plus récurrentes du manuel de gestion des produits : « Qu’est-ce qui vous empêche de dormir la nuit ? » Pas très original, je sais. Mais parfois, plutôt que de lever les yeux au ciel, la personne interrogée vous offre un petit bijou de réponse. C’est ce qui est arrivé.

Il m’a répondu : « Nous avons mis en place de nombreuses protections et nous exerçons un contrôle particulièrement strict, mais je pense que le pire des scénarios serait que l’on nous vole notre fichier .dit. » J’en avais déjà entendu parler. Si un attaquant arrive à se procurer une copie du fichier ntds.dit du contrôleur de domaine (qui est grosso modo la base de données de l’Active Directory), il peut s’en servir hors ligne pour déchiffrer les mots de passe de chaque utilisateur et se connecter en utilisant des identifiants de connexion valides sans que personne ne s’en aperçoive. Mais comment un attaquant pourrait-il voler ce fichier ? Il est utilisé en permanence, donc verrouillé ! Il faudrait arrêter le contrôleur de domaine, ce qui ne passerait pas inaperçu. Les questions commençaient à se bousculer…

Pour faire court, cette conversation m’a permis d’explorer un sujet très intéressant. Plus j’en apprenais sur l’énigme du fichier ntds.dit, plus je découvrais d’autres manières tout aussi intelligentes et astucieuses pour les attaquants de compromettre l’AD. Plutôt logique, d’ailleurs. Après tout, l’Active Directory constitue la cible privilégiée de pratiquement n’importe quelle attaque, les adversaires ayant parfaitement conscience de son importance capitale pour les données qu’ils recherchent et souhaitent voler.

Sélection de contenu connexe :

Dans ce billet de blog, je vais non seulement vous présenter quatre attaques de l’Active Directory que vous devez connaître, mais je vais également vous détailler leur fonctionnement, les techniques et outils utilisés par des attaquants réels pour les mener et comment vous en protéger. Voici le programme :

Attaque no 1 : La reconnaissance LDAP

Lorsqu’un attaquant utilise des requêtes LDAP pour obtenir des informations sur un environnement Active Directory, il réalise une reconnaissance LDAP. Grâce à cette méthode, il peut reconnaître des utilisateurs, des groupes et des ordinateurs, ce qui peut lui permettre de repérer des cibles et de planifier les futures étapes de son attaque. Cette technique étant utilisée par des adversaires qui se sont déjà infiltrés dans une organisation, il s’agit d’une technique de reconnaissance interne (plutôt qu’externe).

Comment vous protéger contre cette attaque ?

Vous pouvez être sûr d’une chose : il est très difficile de prévenir une reconnaissance LDAP. Tous les comptes d’utilisateur de domaine ont accès par défaut à la plupart des informations de l’Active Directory. N’importe quel compte compromis peut donc être utilisé pour réaliser ce type d’espionnage. L’approche la plus proactive pour faire face à la reconnaissance de domaine reste le suivi du trafic LDAP et la détection de requêtes anormales. Mais le meilleur moyen de réduire vos risques est encore de veiller à ce que les données obtenues par les attaquants ne puissent pas être utilisées contre vous.

Attaque no 2 : Mappage des comptes d’administrateur local grâce à l’outil BloodHound

BloodHound est une application Web qui permet d’identifier et de visualiser des chemins d’attaque dans les environnements Active Directory. Elle détermine les étapes les plus rapides pour accéder à une cible souhaitée depuis n’importe quel compte ou ordinateur AD, notamment l’appartenance au groupe des administrateurs de domaine. Utiliser BloodHound pour contrôler régulièrement votre AD peut s’avérer un mécanisme de défense efficace et vous aider à faire en sorte qu’un compte ou un poste compromis ne permette pas à un attaquant de compromettre votre domaine.

BloodHound s’appuie sur deux outils, PowerSploit et Invoke-UserHunter, pour cartographier dans un premier temps les ordinateurs du domaine et les utilisateurs qui y ont accès, avec une attention particulière pour les utilisateurs du groupe Admin local (mappage des comptes d’administrateur local, en anglais Local Admin Mapping). Dans un deuxième temps, l’outil dresse la liste des sessions actives et des utilisateurs connectés sur les ordinateurs appartenant au domaine.

Ces données constituent les composantes essentielles du plan d’attaque. L’adversaire sait dorénavant de mémoire quel utilisateur a accès à quelle machine, et quels identifiants peuvent être volés. À partir de là, il suffit de poser les bonnes questions et de visualiser les chemins d’attaque.

Comment vous protéger contre cette attaque ?

La mise en place de contrôles d’accès aux serveurs est la manière la plus simple de prévenir ce type d’attaques. Les recommandations de Microsoft en matière de meilleures pratiques incluent la mise en œuvre d’un modèle d’administration à plusieurs niveaux pour l’Active Directory afin d’exercer un contrôle strict des droits d’accès, ce qui peut réduire les chemins d’attaque. En outre, rester attentif aux anomalies, notamment quant aux authentifications et à l’activité de connexion, peut aider à détecter les tentatives d’exploitation des chemins d’attaque.

Attaque no 3 : Pass the Hash à l’aide de l’outil Mimikatz

Une fois que l’attaquant a réussi à s’infiltrer dans le réseau, son but est de compromettre d’autres systèmes et d’obtenir les privilèges nécessaires pour mener à bien sa mission. Pass the Hash constitue une technique de vol d’identifiants et de mouvement latéral par laquelle les attaquants exploitent le protocole d’authentification NTLM pour se faire passer pour un utilisateur, sans jamais obtenir le mot de passe du compte en texte clair. Mimikatz est un outil qui rend la réalisation d’attaques Pass the Hash beaucoup plus facile.

Comment vous protéger contre cette attaque ?

Mettez en place des restrictions d’accès pour veiller à ce que les attaquants ne puissent pas extraire, à partir de l’emplacement où ils sont stockés, les hachages des mots de passe de vos comptes à privilèges. De plus, vous devriez envisager d’activer la protection LSA, de tirer parti au maximum du groupe Utilisateurs protégés et d’utiliser le mode Administration restreinte pour les connexions à distance.

Attaque no 4 : Extraction du fichier ntds.dit

Toutes les données de l’Active Directory sont stockées dans le fichier ntds.dit (« le fichier .dit ») sur chaque contrôleur de domaine (qui se trouve par défaut ici : C:\Windows\NTDS\). Pour y accéder, un adversaire doit d’abord obtenir un accès à un compte administrateur dans l’Active Directory. Mais il peut également se procurer une copie du fichier ntds.dit à partir d’une sauvegarde en compromettant la solution de sauvegarde de l’organisation.

Comment vous protéger contre cette attaque ?

Pour réduire le risque d’attaque et éviter que vos adversaires n’extraient votre fichier ntds.dit, suivez ces meilleures pratiques :

  • Nettoyez l’Active Directory, y compris les stratégies de groupe.
  • Limitez le nombre de comptes ayant accès aux contrôleurs de domaine.
  • Suivez le principe d’origine sécurisée pour les contrôleurs de domaine : toute infrastructure (par exemple, serveur ESX ou stockage connecté) ou application (notamment les programmes de sauvegarde) qui utilise un compte de service pour accéder aux contrôleurs de domaine doit partager le même niveau de sécurité que les contrôleurs de domaine eux-mêmes.
  • Assurez-vous que la sécurité physique de vos postes enregistrés en tant que contrôleurs de domaine soit garantie. Si ce n’est pas possible, envisagez d’exécuter les contrôleurs de domaine en lecture seule.
  • N’accordez pas aux utilisateurs des privilèges administratifs au-delà des limites de sécurité.

Comment Netwrix peut vous aider ?

Sécurisez votre Active Directory de bout en bout grâce à la solution de Sécurité Active Directory de Netwrix. Elle vous permettra de :

  • Découvrir les risques de sécurité dans l’Active Directory et d’établir des priorités en matière de mesures d’atténuation.
  • Renforcer la configuration de la sécurité de votre infrastructure informatique.
  • Détecter et de contenir rapidement les menaces, y compris les plus avancées, notamment les attaques DCSyncl’extraction du fichier ntds.dit et les attaques Golden Ticket (« tickets d’or »).
  • Réagir instantanément aux menaces connues grâce aux options de réponse automatisée.
  • Réduire les interruptions de vos activités grâce à la restauration rapide de l’Active Directory.

FAQ

Quelles sont les méthodes les plus répandues pour attaquer l’Active Directory ?

La plupart des attaquants obtiennent un accès à l’Active Directory en compromettant les informations d’identification des utilisateurs et en utilisant ensuite la technique d’élévation de privilèges pour obtenir un accès complet à la base de données. Les attaques les plus courantes sont les suivantes :

Pour en savoir plus sur les attaques de l’AD, consultez notre catalogue des attaques de Netwrix.

Quels outils peuvent être utilisés pour compromettre l’AD ?

Les outils les plus courants sont les suivants :

Afficher les commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles recommandés
Tags populaires
Active Directory CISSP Conformité Cyber attack Cybersécurité Data security GDPR Insider threat IT compliance IT security Office 365 PowerShell SharePoint Windows Server
...