Lors du « Patch Tuesday » de novembre 2021, Microsoft a publié de nouvelles mises à jour pour Kerberos. Elles comprennent de nouveaux événements système et de nouvelles structures pour le certificat PAC (Privilege Attribute Certificate) Kerberos. Analysons les conséquences que peuvent avoir ces mises à jour sur les opérations informatiques et en matière d’attaques sur le protocole Kerberos à l’aide d’un ticket falsifié.
Quelles sont les nouveautés ?
Comme il est de coutume avec les mises à jour Microsoft, de nouveaux articles de la base de connaissances (KB) sont disponibles, ainsi que des mises à jour de protocole. Dans ce billet, nous examinerons en particulier l’article de la base de connaissances KB5008380, qui détaille les mises à jour d’authentification (CVE-2021-42287).
Sélection de contenu connexe :
Clé de registre PACRequestorEnforcement
Les mises à jour ont à la fois une phase de déploiement et une phase de mise en œuvre. Si vous souhaitez néanmoins les tester et accélérer leur application, vous pouvez exécuter les mises à jour avant leur date prévue de mise en œuvre (actuellement, mardi 12 juillet 2022).
Pour cela, il vous suffit de configurer le comportement du correctif : appliquez l’entrée de registre de type DWORD PACRequestorEnforcement à la clé Kdc HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc sur vos contrôleurs de domaine.
Les valeurs suivantes sont possibles pour PACRequestorEnforcement :
| VALEUR | COMPORTEMENT |
|---|---|
| 0 | Désactivé — Rétablissement de la mise à jour |
| 1 (par défaut) | Déploiement — Ajout du nouveau certificat PAC. Si un utilisateur en cours d’authentification dispose de la nouvelle structure PAC, l’authentification est validée. |
| 2 | Mise en œuvre — Ajout du nouveau certificat PAC. Si un utilisateur en cours d’authentification ne dispose pas de la nouvelle structure PAC, l’authentification est refusée. |
Mises à jour des protocoles
Les nombreuses mises à jour de novembre 2021 concernaient également le protocole Kerberos de l’Active Directory. Vous pouvez en obtenir un aperçu ici. Pour plus d’informations, consultez la liste d’erreurs ainsi que le fichier de comparaison correspondant.
Sélection de contenu connexe :
Structure PAC mise à jour
Le certificat PAC sert à encoder les informations d’autorisation des utilisateurs authentifiés. Il contient les appartenances aux groupes, l’historique SID et des informations générales sur les utilisateurs. Dans les mises à jour de novembre 2021, Microsoft a ajouté deux nouvelles structures de données dans le certificat PAC : PAC_ATTRIBUTES_INFO et PAC_REQUESTOR. Lorsque la valeur de PACRequestorEnforcement est définie sur 2, les deux nouveaux champs sont obligatoires pour qu’un ticket Kerberos soit valide.
La nouvelle validation introduite par le biais de la structure PAC_REQUESTOR présente toutefois un intérêt particulier. Lorsque cette dernière est incluse dans un ticket Kerberos, le contrôleur de domaine Kerberos (KDC) veille à présent à ce que la résolution de nom de client (cname), aussi appelé nom d’utilisateur, corresponde au SID utilisé dans la structure PAC_REQUESTOR, sous réserve que le client et le KDC appartiennent au même domaine. En l’absence de correspondance, le ticket d’authentification Kerberos (TGT) est automatiquement révoqué et ne peut pas être utilisé. Le client et le KDC doivent néanmoins obligatoirement appartenir au même domaine pour que ce mécanisme fonctionne.
Quelles sont les conséquences pour les Golden Tickets (« tickets d’or ») ?
Un Golden Ticket est un ticket d’authentification Kerberos falsifié créé par un attaquant en modifiant le certificat PAC, et qu’il utilise pour obtenir accès à des ressources privilégiées pendant une longue durée.
Lorsque le mode de mise en conformité est activé, les outils qui permettent de créer des Golden Tickets devront obligatoirement remplir le champ PAC_REQUESTOR, qui doit être validé par le contrôleur de domaine. Résultat : créer des Golden Tickets pour des utilisateurs inexistants n’est plus possible s’ils appartiennent tous au même domaine. Il est toutefois encore possible d’ajouter des utilisateurs inexistants lors de la création de Trust Tickets, des tickets semblables aux Golden Tickets qui permettent de s’authentifier grâce à une relation d’approbation : la validation est effectuée uniquement si le compte appartient au même domaine que le contrôleur de domaine.
Les nouveaux événements (détaillés dans les notes de mise à jour) fournissent des indicateurs plus avancés de la présence de Golden Tickets, par exemple du code malveillant écrit de manière incorrecte ou non mis à jour. Si la journalisation Windows est activée pour détecter les menaces, ces nouveaux événements devraient être réunis dans un système de gestion des informations et des événements de sécurité (SIEM). Le tableau ci-dessous en offre une vue plus détaillée :
Problèmes avec les mises à jour
Malheureusement, lors de la publication initiale des mises à jour de novembre 2021, certains scénarios de délégation Kerberos ne fonctionnaient pas. Un nouveau correctif hors bande a donc été publié pour aider les clients confrontés à ce problème. Sander Berkouwer de la communauté DirTeam en a présenté un compte rendu précis ici, qui comprend notamment des liens vers chaque article de la base de connaissances (KB) disponible.
Conclusion
Ces mises à jour sont dans l’ensemble correctes et constituent un pas dans la bonne direction. Il serait néanmoins pertinent pour Microsoft de continuer d’améliorer ses protocoles pour Kerberos, comme la validation de la nouvelle structure PAC_REQUESTOR grâce à une relation d’approbation (ce qui élimine virtuellement tous les Golden Tickets d’utilisateurs inexistants) et la vérification des appartenances dans le certificat PAC pour s’assurer qu’elles correspondent à celles de l’utilisateur résolu. Pour aller plus loin, vérifier que les informations du profil utilisateur soient identiques à celle du certificat PAC pourrait s’avérer utile, ainsi que veiller à la conformité de la structure du certificat PAC. La mise en place de manière native de mécanismes de détection et de prévention n’est jamais une mauvaise idée, et permettra aux entreprises de mieux se défendre face aux menaces.
