09/12/2020 par Jean-Denis TSATI 0 Commentaires
Active Directory, la nouvelle cible à la mode ?
Depuis quelques mois, nous assistons à une augmentation impressionnante du nombre d’attaques visant les serveurs de fichiers sous Windows, les infrastructures Microsoft au centre desquelles nous trouvons bien évidemment l’annuaire Active Directory.
Alors que nous sommes de plus en plus sensibilisés à la cybersécurité, pourquoi les attaques visant Active Directory prennent de plus en plus d’ampleur et augmentent de façon vertigineuse ?
Pour répondre à cette question, essayons donc de décrypter la situation
1. Active Directory, des designs vieillissants
La première raison provient de l’obsolescence de nos raisonnements et de nos architectures autour de l’annuaire Active Directory. En effet, la plupart des designs Active Directory des grandes entreprises françaises ou mondiales ont été réalisés il y a plusieurs années, entre 10 et 15 ans pour la plupart.
A cette époque, les problématiques de sécurité liées à Active Directory n’étaient pas connues du « grand public », seuls de rares initiés soupçonnaient quelques détournements possibles des hash de mots de passe et du protocole Kerberos. Il est donc évident que les designs Active Directory étaient réalisés uniquement réalisant un focus sur :
· Le DIT (Directory Information Tree)
· Le modèle de délégation d’administration
· La logique d’application des GPOs
Les aspects sécurité étaient traités, mais principalement sous le prisme du modèle de délégation et de l’accès aux objets dans l’annuaire Active Directory.
Les designs de l’époque ne prenaient donc pas en compte les attaques spécifiques sur Active Directory. Bien sûr, les mises à jour des OS des contrôleurs de domaine Active Directory, (2003, 2008, 2012, 2016, etc.) ne servent à rien dans ce domaine, tant que le design global n’est pas revu et entièrement corrigé.
2. Une prise de conscience massive de la part des professionnels
Un ensemble d’évènements a permis une mise en lumière des problématiques liées aux designs Active Directory de l’époque :
· Premières attaques de malware visant les infrastructures Microsoft
· Premiers travaux de Benjamin Delpy autour de Mimikatz
· Publication par Microsoft des livres blancs autour de « Pass-the-hash » [https://bit.ly/2YeA6fq et https://bit.ly/31ahyOS]
· Accélération des attaques visant Active Directory
Depuis ces premiers travaux, Microsoft conscient du problème, publia un document décrivant le « Tier-Model », seul modèle de design efficace pour concevoir des infrastructures Active Directory résistantes aux attaques de nouvelles générations : https://bit.ly/2QK8wBB
3. Mais au fait, c’est quoi une attaque sur Active Directory ?
Il n’y a globalement que deux éléments permettant à un attaquant de compromettre Active Directory :
· Les vulnérabilités non patchées des systèmes Windows
· Les mauvaises configurations d’Active Directory
Ø Les vulnérabilités
Quel que soit le système (OS, routeur, firewall, etc.) considéré, il est relativement « simple » de traiter cet aspect, Windows et Active Directory ne font pas exception. Il existe de nombreux outils sur le marché permettant de réaliser des scans de vulnérabilités sur votre réseau et obtenir une cartographie précise des systèmes nécessitant le passage de patchs.
Les différents outils à votre disposition s’appuient tous plus ou moins sur les bibliothèques publiques de CVEs telle que MITRE : https://cve.mitre.org/ ou NIST : https://nvd.nist.gov/
Ces outils sont capables de réaliser un audit de l’ensemble de vos systèmes pour détecter des manques importants liés aux patchs de sécurité, cet aspect étant tout à fait primordial sur les systèmes Windows puisqu’ils sont visés tout particulièrement par les attaques de Ransomware et Cryptovirus. D’ailleurs, certaines attaques visant Active Directory exploitent des vulnérabilités connues depuis des années.
Parmi ces outils, nous pouvons citer par exemple Retina Network Security Scanner ou Nessus. Personnellement, je ne vois pas de différences majeures entre les différents outils du marché pour ce qui est du scanner de vulnérabilités lui-même.
Par contre, il existe des différences fonctionnelles majeures sur les aspects intégration avec les SIEMs existants ou sur « l’intelligence » rajoutée aux autres outils de sécurité présents sur le réseau. Par exemple, si l’on possède un outil de gestion des privilèges, il semble intéressant de pouvoir faire évoluer le Risk Score d’un système en fonction des CVEs présentes, il serait alors possible d’adapter le scénario d’ouverture de session d’un administrateur sur le système en fonction de ce Risk Score.
Ø Les mauvaises configurations
Nous abordons maintenant un aspect critique et délicat. En effet, il est extrêmement complexe pour une organisation de réaliser un audit complet de la configuration Active Directory existante, et ce pour quatre raisons majeures :
· La rareté des compétences réelles sur le marché de la Cybersécurité Active Directory
· La nature ubiquitaire et multi-maîtres d’Active Directory
· Le nombre de changements quotidiens réalisés dans un annuaire Active Directory
· Le non compréhension des risques liés à Active Directory de la part de certains managers
Il est donc malheureusement courant de constater que certaines « grosses organisations » ont tout bonnement « jeté l’éponge » et acceptent le risque lié à la mauvaise configuration Active Directory, véritable épée de Damoclès pouvant trancher à tout moment la production de votre organisation…
Il existe pourtant des solutions permettant à ces grandes organisations de calculer leur risque et d’établir un plan d’action cohérent pour corriger les problèmes de configuration amenant à une attaque massive de malware.
Nous pouvons citer deux exemples : la société Alsid, proposant un outil de sécurité dédié à Active Directory permettant d’établir un Risk Score précis et des alertes en cas de changements ou d’actions suspectes, Alsid a d’ailleurs inventé la notion d’IoE (Indicators of Exposure), véritable Risk Score adapté à Active Directory, et la société Semperis proposant un outil de récupération Active Directory en cas de compromission permettant de restaurer une forêt complète en moins d’une heure, cet outil cible la reprise d’activité après incident mais peut s’avérer particulièrement efficace en cas de problème.
4. Quels outils les attaquants utilisent-ils pour compromettre Active Directory ?
Il existe de très nombreux outils permettant à un attaquant ou à une Red Team d’évaluer le niveau de fiabilité technique et de compromettre votre Active Directory, nous allons en découvrir quelques-uns ensemble.
Cette liste n’est absolument pas exhaustive, mais constitue un bon point d’entrée pour tester votre sécurité Active Directory
BloodHound est outil fantastique. Il vous permet de collecter les informations sur l’environnement Active Directory via l’outil SharpHound, puis d’injecter les données collectées au format Json dans une application graphique permettant de mettre en lumière les relations entre les différents objets.
BloodHound permettra à l’attaquant de détecter les sessions sur les machines, les statistiques sur les objets Active Directory et surtout d’émettre des hypothèses sur les chemins d’attaque potentiels. Cet outil permet de gagner un temps précieux lors de l’attaque car il vous permet d’aller à l’essentiel, vers les nœuds sensibles.
Mimikatz est un outil vous permettant de réaliser un nombre d’attaques impressionnant. La description de cet outil en constante évolution mériterait une série d’articles à lui tout seul ! Mimikatz vous permettra notamment d’extraire les hash de mots de passe depuis des comptes ayant réalisé une authentification sur le système cible puis de rejouer le hash pour obtenir un ticket Kerberos au nom d’une autre personne, un administrateur par exemple. Cocorico, cet outil a été créé et est maintenu par un Français, Benjamin Delpy.
Metasploit Sorte de boîte à outils pour une équipe RedTeam, Metasploit existe en deux versions, une version communautaire et une version commerciale permettant l’accès à un support professionnel.
Metasploit regroupe un ensemble d’outils packagés vous permettant de réaliser des tests d’intrusion efficaces. Il ne vise pas particulièrement les environnements Microsoft, mais depuis quelques mois, il s’est enrichi d’outils spécifiques à Active Directory pour accompagner la tendance globale actuelle.
5. Que dois-je faire pour me protéger ?
Bien évidemment, la réponse à cette question dépend de votre organisation et de votre design Active Directory actuel. Néanmoins, que votre organisation soit utilisatrice ou non de solutions cloud, il est vraisemblable que votre adhérence à Active Directory soit élevée – rappelez-vous que la plupart des annuaires Cloud sont alimentés par votre annuaire local Active Directory.
Si vous ne savez pas par où commencer, nous vous conseillons les actions suivantes :
· Réaliser un audit de sécurité Active Directory par un consultant spécialisé dans ce domaine
· Suivre une formation avancée sur la sécurité Active Directory : dans tous les cas, vous aurez besoin d’être formé pour être pleinement opérationnel, pour comprendre les détails et mettre en œuvre les contre-mesures adéquates
· Evaluer les solutions logicielles vous permettant d’améliorer grandement votre niveau de sécurité Active Directory : Retina, Alsid, Semperis, etc.
· Tester les différents outils d’attaque pour comprendre comment les attaquants peuvent utiliser vos faiblesses, comprendre les armes de vos ennemis peut vous permettre de mieux appréhender les modèles d’attaques : BloodHound, Mimikatz, Metasploit, etc.
· Mettre en œuvre un plan d’amélioration continue de votre infrastructure Active Directory
· Réaliser régulièrement des tests d’intrusion ciblés sur Active Directory via un cabinet extérieur ou via votre Red Team interne.
Commentaires
Laisser un commentaire