Pour protéger Active Directory, neutralisez les menaces liées à l’abus et à l’élévation des privilèges
Pour protéger Active Directory, neutralisez les menaces liées à l’abus et à l’élévation des privilèges
En 2021, l’attaque par ransomware Colonial Pipeline a entraîné de graves pénuries de carburant dans plusieurs états des États-Unis, et ce pendant plusieurs semaines. On a par la suite retracé la cause de cet incident majeur d’ampleur nationale à un unique compte de VPN mal sécurisé. Le groupe de ransomware à l’origine de l’attaque avait mis la main sur les identifiants du compte concerné sur le dark web. Même si ce compte était inactif, en dormance, l’authentification multifacteur (MFA) n’était pas activée à son niveau.
Grâce à ce compte compromis, les assaillants sont parvenus à pénétrer le réseau de l’entreprise, puis ils ont vraisemblablement élevé leur niveau de privilège en vue de se déplacer latéralement au sein du réseau.
Cet incident met bien en évidence l’importance d’une gestion proactive des accès Windows Active Directory (AD) dans la protection des réseaux modernes.
Dans la situation qui nous intéresse, l’environnement présentait une première vulnérabilité : l’existence d’un compte de VPN inactif. Tout porte à croire que ce compte n’avait été ni détecté, ni mis hors service. Curieusement, le phénomène est plus courant que ce que l’on pense : Microsoft estime que plus de 10 % des comptes AD se trouvent dans cet état « inactif » à risque.
Deuxième vulnérabilité : le compte de VPN n’était pas sécurisé par la MFA. Cette mesure de sécurité des accès est pourtant recommandée pour n’importe quel compte AD, d’autant plus pour les comptes privilégiés ou les comptes d’utilisateurs distants.
Enfin, dernier problème et peut-être le plus grave : les criminels ont réussi à relever leur niveau de privilège au sein d’AD. Le fait qu’un compte soit celui d’un utilisateur standard dans AD ne veut pas dire que des criminels ne pourront pas l’utiliser pour relever leur niveau de privilège et développer un comportement beaucoup plus dangereux si les bonnes protections ne sont pas en place.
La protection d’Active Directory : vitale, mais difficile
Malheureusement, les vulnérabilités de sécurité associées à AD sont en grande partie dues à l’étendue et à la complexité de la plateforme. Quand on parle de sécuriser AD, beaucoup d’aspects s’avèrent complexes, notamment pour les comptes AD sur site, que les entreprises doivent s’occuper de sécuriser elles-mêmes.
Les problèmes sont variés : gérer les comptes privilégiés, surveiller l’élévation des privilèges, ou encore imposer des couches de sécurité supplémentaires comme la MFA. La mise en œuvre de ces mesures de sécurité passe nécessairement par une solution IAM tierce pour sécuriser les accès.
Pour bien défendre AD, il ne suffit pas de stopper les attaquants au niveau du point d’accès initial. Il faut aussi contenir les déplacements latéraux à l’intérieur du réseau en cas de compromission.
La compromission des identifiants est centrale pour la sécurité d’AD
Si l’incident Colonial Pipeline a fait les gros titres, il est loin d’être un événement isolé. On a recensé de nombreuses cyberattaques exploitant les mêmes vulnérabilités en matière de gestion et de sécurité d’AD.
Pour les criminels, Windows Active Directory est une cible de choix, puisque ce service constitue la colonne vertébrale des systèmes de gestion des identités et des accès de la plupart des entreprises.
La plus grande difficulté liée à la sécurité d’AD réside dans l’immense surface d’attaque de l’environnement. Comme l’attaque Colonial Pipeline le montre bien, les comptes utilisateurs et les identifiants sont les parties les plus saillantes et les plus vulnérables du système.
Lorsque les experts parlent des problèmes de compromission des mots de passe, ils font généralement référence à la compromission de comptes Active Directory. Les assaillants cherchent à compromettre des comptes AD non privilégiés afin de s’infiltrer dans le réseau, ce qui leur donne accès à l’architecture AD. Ils peuvent alors mettre en œuvre l’ensemble des outils et techniques de manipulation à leur disposition pour modifier AD de l’intérieur.
La compromission des identifiants et des utilisateurs est un problème central à la sécurité d’AD. Chaque compte compromis existe en un endroit précis de l’environnement. Il est donc essentiel de bien gérer, superviser et sécuriser les comptes pour bien protéger l’écosystème AD.
Exploitation et élévation des privilèges dans Active Directory
La notion de privilège dans AD est souvent mal comprise. Généralement, on imagine que les accès privilégiés sont associés à des comptes spéciaux, tels que ceux utilisés par les administrateurs, qui confèrent des droits de niveau système.
En réalité, AD dispose de tout un éventail de comptes utilisateurs privilégiés. Chacun bénéficie de droits sensiblement différents : administrateurs de l’entreprise, administrateurs du domaine, administrateurs du schéma, administrateurs des stratégies de groupe, administrateurs de sauvegarde, administrateurs de compte et comptes de services d’applications. Dans certains cas, un compte administrateur peut être affecté à plusieurs de ces rôles.
On considère généralement les administrateurs comme des entités uniques aux pouvoirs divins. Dans ce cas, pourquoi avoir recours à autant d’administrateurs différents ? La réponse est simple : comme pour toute question liée à la gestion réseau, une bonne administration d’Active Directory doit reposer sur le principe du moindre privilège. Chaque compte ne doit disposer que des privilèges dont il a besoin pour accomplir son travail. Cet aspect est particulièrement important pour les privilèges qui confèrent des droits de niveau administrateur.
Mais ce principe doit s’appliquer à l’ensemble des comptes. Il convient ici de souligner que tous les comptes AD, y compris les comptes utilisateur les plus standard, sont associés à certains privilèges. Dans AD, le privilège le plus bas reste un privilège, qui pose un risque et doit être contrôlé.
Comme tout autre système informatique, le point faible d’AD réside dans la capacité des assaillants à élever leurs privilèges. Cette faiblesse doit attirer notre attention sur une technique courante dans de nombreuses cyberattaques. Les criminels compromettent un compte utilisateur Active Directory ordinaire, puis élèvent leurs privilèges dans le but d’atteindre des secteurs plus sensibles du réseau. Il est donc impératif de bien sécuriser tous les comptes AD, y compris les plus basiques.
Comment les cybercriminels font-ils pour élever leurs privilèges ? Grâce à différentes techniques : exploitation de vulnérabilités logicielles et d’erreurs de configuration internes, ou encore piratage des processus AD internes. Cela dit, les hackers ont bien souvent recours à des outils réseau pour identifier et cibler les identifiants de comptes privilégiés. Si ces comptes n’ont pas été correctement sécurisés, les assaillants peuvent mettre la main sur les privilèges associés à ces comptes afin d’étendre leur accès.
Comment stopper l’abus de privilèges et sécuriser l’accès à Active Directory
La protection d’AD exige, comme il se doit, plusieurs couches de sécurité : protection contre les tentatives de phishing, politiques de mots de passe strictes, application de la MFA à l’ensemble des comptes.
Toutefois, cette démarche doit mettre l’accent sur la gestion des accès, notamment ceux des comptes privilégiés, cibles préférées des cybercriminels.
Il est vital non seulement de suivre et d’auditer les accès et les actions des comptes privilégiés, mais aussi de déclencher des alertes lorsqu’un compte doté d’un accès administrateur modifie des politiques. Cette approche permet de se prémunir à la fois des attaques externes et de lutter contre les menaces internes.
Malgré tout, la gestion d’AD est propre à chaque déploiement, même en ce qui concerne les utilisateurs privilégiés. Les administrateurs doivent donc être en mesure d’appliquer leurs politiques de façon granulaire, de sorte que ces comptes disposent d’une autorisation soit « en lecture » pour consulter les propriétés et les membres du groupe sans les modifier, soit « en écriture » pour les modifier.
Appliquez la MFA sur les invites de contrôle de compte utilisateur (UAC)
Pour éviter toute élévation de privilèges non autorisée, il faut absolument appliquer la MFA aux invites UAC, car la génération d’alertes sur ces requêtes permet de détecter plus facilement les acteurs malveillants qui cherchent à s’infiltrer dans votre réseau.
Toutes les solutions ne sont pas égales lorsqu’il s’agit d’appliquer la MFA aux invites UAC. Bien souvent, les administrateurs ne peuvent appliquer la MFA UAC que machine par machine. Pratiquement toutes les solutions affichent les requêtes de MFA UAC comme des événements de MFA RDP (Remote Desktop Protocol).
L’application de la MFA aux invites UAC apporte un gain de sécurité important dans la lutte contre l’abus de privilèges et les compromissions d’AD. Par défaut, les invites UAC de niveau administrateur demandent uniquement un mot de passe. L’ajout de la MFA réduit considérablement le risque d’exposition de la surface d’attaque.
Défendre Active Directory : une énigme pas si difficile à résoudre
Défendre AD n’est pas une tâche aisée. Pour protéger cette plateforme vaste et complexe, les entreprises doivent veiller à mettre en œuvre différentes couches de sécurité pour une efficacité optimale. Les équipes de sécurité doivent tenir compte d’un large éventail de menaces possibles :
· Compromission d’identifiants
· Déplacement latéral au sein du réseau
· Abus de privilèges et élévation de privilèges non autorisée
· Modification de fichiers système critiques
· Menaces internes provenant de comptes privilégiés
Par ailleurs, les défenseurs doivent s’assurer que les solutions de sécurité qu’ils choisissent pour répondre aux exigences de conformité et d’assurance cyber présentent les fonctionnalités de sécurité dont ils ont besoin pour prévenir les menaces ci-dessus. Certaines solutions se contentent de cocher plusieurs cases, là où d’autres proposent une offre de sécurité globale efficace, qui permet également de répondre aux exigences — mais ces dernières sont plus rares.
Que devons-nous conclure de tout cela ? Vous avez mis en œuvre des technologies de type MFA pour sécuriser le processus d’identification. Mais êtes-vous en mesure de contrôler et de suivre tout ce qui se passe une fois qu’un utilisateur accède au système ?
Les cybercriminels comptent sur le fait que les entreprises feront moins attention à cet aspect de la défense d’AD. Malheureusement, comme nous l’avons constaté à plusieurs reprises, l’actualité leur donne trop souvent raison. Les entreprises consacrent moins d’énergie à sécuriser les actions internes à leur environnement AD qu’à en contrôler l’accès initial.
Les cyberattaques réelles nous montrent que cette stratégie manque cruellement d’efficacité. Les événements qui surviennent après une compromission initiale sont tout aussi importants que celle-ci.
« Compte VPM mal sécurisé »
Bonjour,
S’agit t’il d’une erreur de frappe ?
Bonjour,
Bien vu 🙂