BREAKING NEWS

Pour protéger Active Directory, neutralisez les menaces liées à l’abus et à l’élévation des privilèges

Posted On 22 Oct 2024
By :
Comment: 0
Tag: , ,

Pour protéger Active Directory, neutralisez les menaces liées à l’abus et à l’élévation des privilèges

En 2021, l’attaque par ransomware Colonial Pipeline a entraîné de graves pénuries de carburant dans plusieurs états des États-Unis, et ce pendant plusieurs semaines. On a par la suite retracé la cause de cet incident majeur d’ampleur nationale à un unique compte de VPM mal sécurisé. Le groupe de ransomware à l’origine de l’attaque avait mis la main sur les identifiants du compte concerné sur le dark web. Même si ce compte était inactif, en dormance, l’authentification multifacteur (MFA) n’était pas activée à son niveau.

Inscrivez-vous à la newsletter ZATAZ

Grâce à ce compte compromis, les assaillants sont parvenus à pénétrer le réseau de l’entreprise, puis ils ont vraisemblablement élevé leur niveau de privilège en vue de se déplacer latéralement au sein du réseau.

Cet incident met bien en évidence l’importance d’une gestion proactive des accès Windows Active Directory (AD) dans la protection des réseaux modernes.

Dans la situation qui nous intéresse, l’environnement présentait une première vulnérabilité : l’existence d’un compte de VPN inactif. Tout porte à croire que ce compte n’avait été ni détecté, ni mis hors service. Curieusement, le phénomène est plus courant que ce que l’on pense : Microsoft estime que plus de 10 % des comptes AD se trouvent dans cet état « inactif » à risque.

Deuxième vulnérabilité : le compte de VPN n’était pas sécurisé par la MFA. Cette mesure de sécurité des accès est pourtant recommandée pour n’importe quel compte AD, d’autant plus pour les comptes privilégiés ou les comptes d’utilisateurs distants.

Enfin, dernier problème et peut-être le plus grave : les criminels ont réussi à relever leur niveau de privilège au sein d’AD. Le fait qu’un compte soit celui d’un utilisateur standard dans AD ne veut pas dire que des criminels ne pourront pas l’utiliser pour relever leur niveau de privilège et développer un comportement beaucoup plus dangereux si les bonnes protections ne sont pas en place.

La protection d’Active Directory : vitale, mais difficile

Malheureusement, les vulnérabilités de sécurité associées à AD sont en grande partie dues à l’étendue et à la complexité de la plateforme. Quand on parle de sécuriser AD, beaucoup d’aspects s’avèrent complexes, notamment pour les comptes AD sur site, que les entreprises doivent s’occuper de sécuriser elles-mêmes.

Les problèmes sont variés : gérer les comptes privilégiés, surveiller l’élévation des privilèges, ou encore imposer des couches de sécurité supplémentaires comme la MFA. La mise en œuvre de ces mesures de sécurité passe nécessairement par une solution IAM tierce pour sécuriser les accès.

Pour bien défendre AD, il ne suffit pas de stopper les attaquants au niveau du point d’accès initial. Il faut aussi contenir les déplacements latéraux à l’intérieur du réseau en cas de compromission.

La compromission des identifiants est centrale pour la sécurité d’AD

Si l’incident Colonial Pipeline a fait les gros titres, il est loin d’être un événement isolé. On a recensé de nombreuses cyberattaques exploitant les mêmes vulnérabilités en matière de gestion et de sécurité d’AD.

Pour les criminels, Windows Active Directory est une cible de choix, puisque ce service constitue la colonne vertébrale des systèmes de gestion des identités et des accès de la plupart des entreprises.

La plus grande difficulté liée à la sécurité d’AD réside dans l’immense surface d’attaque de l’environnement. Comme l’attaque Colonial Pipeline le montre bien, les comptes utilisateurs et les identifiants sont les parties les plus saillantes et les plus vulnérables du système.

Lorsque les experts parlent des problèmes de compromission des mots de passe, ils font généralement référence à la compromission de comptes Active Directory. Les assaillants cherchent à compromettre des comptes AD non privilégiés afin de s’infiltrer dans le réseau, ce qui leur donne accès à l’architecture AD. Ils peuvent alors mettre en œuvre l’ensemble des outils et techniques de manipulation à leur disposition pour modifier AD de l’intérieur.

La compromission des identifiants et des utilisateurs est un problème central à la sécurité d’AD. Chaque compte compromis existe en un endroit précis de l’environnement. Il est donc essentiel de bien gérer, superviser et sécuriser les comptes pour bien protéger l’écosystème AD.

Exploitation et élévation des privilèges dans Active Directory

La notion de privilège dans AD est souvent mal comprise. Généralement, on imagine que les accès privilégiés sont associés à des comptes spéciaux, tels que ceux utilisés par les administrateurs, qui confèrent des droits de niveau système.

En réalité, AD dispose de tout un éventail de comptes utilisateurs privilégiés. Chacun bénéficie de droits sensiblement différents : administrateurs de l’entreprise, administrateurs du domaine, administrateurs du schéma, administrateurs des stratégies de groupe, administrateurs de sauvegarde, administrateurs de compte et comptes de services d’applications. Dans certains cas, un compte administrateur peut être affecté à plusieurs de ces rôles.

On considère généralement les administrateurs comme des entités uniques aux pouvoirs divins. Dans ce cas, pourquoi avoir recours à autant d’administrateurs différents ? La réponse est simple : comme pour toute question liée à la gestion réseau, une bonne administration d’Active Directory doit reposer sur le principe du moindre privilège. Chaque compte ne doit disposer que des privilèges dont il a besoin pour accomplir son travail. Cet aspect est particulièrement important pour les privilèges qui confèrent des droits de niveau administrateur.

Mais ce principe doit s’appliquer à l’ensemble des comptes. Il convient ici de souligner que tous les comptes AD, y compris les comptes utilisateur les plus standard, sont associés à certains privilèges. Dans AD, le privilège le plus bas reste un privilège, qui pose un risque et doit être contrôlé.

Comme tout autre système informatique, le point faible d’AD réside dans la capacité des assaillants à élever leurs privilèges. Cette faiblesse doit attirer notre attention sur une technique courante dans de nombreuses cyberattaques. Les criminels compromettent un compte utilisateur Active Directory ordinaire, puis élèvent leurs privilèges dans le but d’atteindre des secteurs plus sensibles du réseau. Il est donc impératif de bien sécuriser tous les comptes AD, y compris les plus basiques.

Comment les cybercriminels font-ils pour élever leurs privilèges ? Grâce à différentes techniques : exploitation de vulnérabilités logicielles et d’erreurs de configuration internes, ou encore piratage des processus AD internes. Cela dit, les hackers ont bien souvent recours à des outils réseau pour identifier et cibler les identifiants de comptes privilégiés. Si ces comptes n’ont pas été correctement sécurisés, les assaillants peuvent mettre la main sur les privilèges associés à ces comptes afin d’étendre leur accès.

Comment stopper l’abus de privilèges et sécuriser l’accès à Active Directory

La protection d’AD exige, comme il se doit, plusieurs couches de sécurité : protection contre les tentatives de phishing, politiques de mots de passe strictes, application de la MFA à l’ensemble des comptes.

Toutefois, cette démarche doit mettre l’accent sur la gestion des accès, notamment ceux des comptes privilégiés, cibles préférées des cybercriminels.

Il est vital non seulement de suivre et d’auditer les accès et les actions des comptes privilégiés, mais aussi de déclencher des alertes lorsqu’un compte doté d’un accès administrateur modifie des politiques. Cette approche permet de se prémunir à la fois des attaques externes et de lutter contre les menaces internes.

Malgré tout, la gestion d’AD est propre à chaque déploiement, même en ce qui concerne les utilisateurs privilégiés. Les administrateurs doivent donc être en mesure d’appliquer leurs politiques de façon granulaire, de sorte que ces comptes disposent d’une autorisation soit « en lecture » pour consulter les propriétés et les membres du groupe sans les modifier, soit « en écriture » pour les modifier.

Appliquez la MFA sur les invites de contrôle de compte utilisateur (UAC)

Pour éviter toute élévation de privilèges non autorisée, il faut absolument appliquer la MFA aux invites UAC, car la génération d’alertes sur ces requêtes permet de détecter plus facilement les acteurs malveillants qui cherchent à s’infiltrer dans votre réseau.

Toutes les solutions ne sont pas égales lorsqu’il s’agit d’appliquer la MFA aux invites UAC. Bien souvent, les administrateurs ne peuvent appliquer la MFA UAC que machine par machine. Pratiquement toutes les solutions affichent les requêtes de MFA UAC comme des événements de MFA RDP (Remote Desktop Protocol).

L’application de la MFA aux invites UAC apporte un gain de sécurité important dans la lutte contre l’abus de privilèges et les compromissions d’AD. Par défaut, les invites UAC de niveau administrateur demandent uniquement un mot de passe. L’ajout de la MFA réduit considérablement le risque d’exposition de la surface d’attaque.

Défendre Active Directory : une énigme pas si difficile à résoudre

Défendre AD n’est pas une tâche aisée. Pour protéger cette plateforme vaste et complexe, les entreprises doivent veiller à mettre en œuvre différentes couches de sécurité pour une efficacité optimale. Les équipes de sécurité doivent tenir compte d’un large éventail de menaces possibles :

· Compromission d’identifiants

· Déplacement latéral au sein du réseau

· Abus de privilèges et élévation de privilèges non autorisée

· Modification de fichiers système critiques

· Menaces internes provenant de comptes privilégiés

Par ailleurs, les défenseurs doivent s’assurer que les solutions de sécurité qu’ils choisissent pour répondre aux exigences de conformité et d’assurance cyber présentent les fonctionnalités de sécurité dont ils ont besoin pour prévenir les menaces ci-dessus. Certaines solutions se contentent de cocher plusieurs cases, là où d’autres proposent une offre de sécurité globale efficace, qui permet également de répondre aux exigences — mais ces dernières sont plus rares.

Que devons-nous conclure de tout cela ? Vous avez mis en œuvre des technologies de type MFA pour sécuriser le processus d’identification. Mais êtes-vous en mesure de contrôler et de suivre tout ce qui se passe une fois qu’un utilisateur accède au système ?

Les cybercriminels comptent sur le fait que les entreprises feront moins attention à cet aspect de la défense d’AD. Malheureusement, comme nous l’avons constaté à plusieurs reprises, l’actualité leur donne trop souvent raison. Les entreprises consacrent moins d’énergie à sécuriser les actions internes à leur environnement AD qu’à en contrôler l’accès initial.

Les cyberattaques réelles nous montrent que cette stratégie manque cruellement d’efficacité. Les événements qui surviennent après une compromission initiale sont tout aussi importants que celle-ci.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

0

Cyber attaque pour le journal La Croix

Posted On 10 Sep 2024
, By
0

Cyberattaque en Calédonie : Lagoon victime d’un rançongiciel

Posted On 21 Août 2024
, By
0

Les boutiques de musées français indirectement impactées par une cyber attaque

Posted On 06 Août 2024
, By
0

Cyber-attaque au CH d’Armentières : les imprimantes réclament de l’argent

Posted On 11 Fév 2024
, By
0

L’Intelligence Artificielle au service des ransomwares : comment se préparer à la prochaine vague de menaces

Posted On 23 Nov 2023
, By
0

Le leader français de la gestion de parc automobile piraté

Posted On 03 Nov 2023
, By
0

Le FBI tente d’écraser la Cl0P team

Posted On 09 Juin 2023
, By
0

L’Université de Waterloo victime d’une attaque de ransomware ciblant son système de messagerie

Posted On 05 Juin 2023
, By
0

Les pirates du groupes MONTI louchent sur les environnements Action1 RMM

Posted On 01 Mai 2023
, By
0

Les pirates de Money Message, si jeunes, si agressifs !

Posted On 09 Avr 2023
, By
0

L’entreprise DOLE avoue que les données de ses employés ont été piratées

Posted On 27 Mar 2023
, By
0

Un ver dans le cheval cabré !

Posted On 23 Mar 2023
, By
0

Seconde cyber attaque pour la ville d’Oakland ?

Posted On 23 Mar 2023
, By
0

Des pirates rançonnent en reproduisant à l’identique des sites web de victimes

Posted On 05 Jan 2023
, By
élections infiltré
0

La Cyber à la fête au Québec

Posted On 03 Nov 2022
, By
0

277 attaques recensées en octobre 2022

Posted On 02 Nov 2022
, By
1

La police piège le système de paiement des pirates du groupe DeadBolt

Posted On 15 Oct 2022
, By
1

La Ville de Caen visée par une cyber attaques

Posted On 27 Sep 2022
, By
3

Que deviennent vos données de santé piratées ?

Posted On 29 Août 2022
, By
2

Marketing de la Malveillance : exemple avec Stormous

Posted On 23 Avr 2022
, By

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Partenaires

Transmettre vos fichiers sécurisés à ZATAZ IS Decisions Logo Guardia CS, école de cybersécurité à Paris, Lyon et Bordeaux
Cyber university
ZATAZ Partenaire du Forum International de la Cybersécurité
Ambient IT Formation OSCP Tutos gratuits sécurité informatique

Publicité

Partenaires de ZATAZ

Oteria Cyber School
Barracuda ! Abonnez-vous gratuitement aux actuaités de ZATAZ Soyez plus rapide que les pirates informatiques ! facebook twitter instagram twitch instagram youtube zataz

Publicités

Rechercher une info

Calendrier

octobre 2024
L M M J V S D
 123456
78910111213
14151617181920
21222324252627
28293031  

Les + commentés

Loi Fake News Patchs Tuesday chantage par mail

Retour du chantage par mail : je vous vois à poil !

210 Comments
Escroquerie - Plusieurs dizaines de lecteurs de ZATAZ m'ont alerté d'un étrange courriel reçu. Il contient le mot de passe des cibles et réclame de l'argent pour ne pas en divulguer plus. ZATAZ va vous expliquer le fond de l'arnaque.

Escroquerie : chantage par mail à l'encontre de milliers de Français

206 Comments
Chantage

Chantage par mail : NON vous n'avez pas été piraté

150 Comments

Publicités

Sur le Oueb

Revue de presse : ZATAZ Revue de presse
Réseaux sociaux : TW/FB/TK/Masto/LK
DSB : Data Security Breach
Page officielle Damien Bancal

Divers

Remonter un problème.
Mentions légales.
Certaines images viennent de Freepik.
Typo titre : adrien-coquet.com

Protocole d’alerte ZATAZ

Protocole ZATAZ (2023) : 80 876
Taux de correction (100 derniers cas) : 97 %
Alerter anonymement.
Page sécurisée Bluefiles pour transmettre à ZATAZ un fichier.

Service Veille ZATAZ

Espaces pirates sous surveillance: 217 201 Alertes envoyées au 01/11/2023 : 27 801 Fuites constatées en 2023 : + 17 milliards Service veille ZATAZ : veillezataz.com

L'école de cybersécurité Cyber Management School
Copyright 1996 - 2020 :: ZATAZ - Réalisation DB. - Le site OFFICIEL est ZATAZ.COM - Le reste ne serait que contrefaçon