Crédit : Dreamstime
Microsoft Active Directory a fait ses débuts il y a 22 ans. À l’ère de l’informatique, c’est une vieille innovation. Les stars du danger aiment l’ancienne innovation, car elle a souvent un code ou des procédures hérités qui ne sont pas protégés par les exigences modernes ou les organisations n’ont en fait pas suivi les spots et les paramètres suggérés.
Derek Melber, principal stratège en technologie et en sécurité pour Tenable, a parlé des dangers d’Active Directory lors de la conférence RSA de cette année. Les attaquants ciblent des domaines. S’ils voient un gadget inscrit à Active Directory, ils poursuivront l’attaque. S’ils ne voient pas de fabricant joint au domaine, ils passeront à un autre poste de travail. Vous trouverez ci-dessous quelques exemples de la façon dont les attaquants peuvent exploiter les vulnérabilités traditionnelles du site Active Directory
contournement de sécurité sAMAccountName
Trop souvent, nous nous concentrons sur les vulnérabilités qui font les gros titres et passons à côté de celles qui ont probablement le plus d’impact. Melber a mentionné l’attention portée à la vulnérabilité Log4j, mais une autre vulnérabilité est apparue la même semaine qui affecte tous les domaines de site Active Directory appelés sAMAccountName, qui affecte tous les systèmes qui ont les mises à jour de novembre 2021 ou ultérieures.
Il s’agit d’une vulnérabilité de contournement de sécurité dans le superviseur des comptes de sécurité du site Active Directory, pour laquelle Microsoft a en fait publié une réparation (CVE-2021-42278).
Après la configuration de CVE-2021 -42278, le site Active Directory effectuera les inspections de validation indiquées ci-dessous sur les caractéristiques sAMAccountName et UserAccountControl des comptes d’ordinateurs développés ou personnalisés par des utilisateurs qui ne disposent pas de droits d’administrateur pour les comptes d’appareils.
Il s’appuie sur un défaut fondamental de chaque domaine de site Active Directory : qu’un administrateur de domaine typique ne serait pas dérangé si un non-administrateur du domaine joignait jusqu’à 10 systèmes informatiques à ce domaine.
Cela aurait peut-être semblé raisonnable il y a 10 ans. Désormais, avec la possibilité de déployer des postes de travail à l’aide du pilote automatique ou de toute autre innovation dont nous disposons, il n’est plus judicieux d’autoriser les utilisateurs non administrateurs à s’inscrire sur des postes de travail. au domaine.
Ce paramètre existe depuis des années, mais beaucoup d’entre nous ne l’ont pas changé ou ne le savent pas. Vous devrez entrer dans ADSIedit et définir un attribut de ms-DS-MachineAccountQuota. C’est la qualité responsable de la limitation ci-dessus. Par défaut, il est réglé sur « 10 ». Le définir sur « 0 » désactive cette limite.
Les attaquants peuvent combiner la vulnérabilité CVE-2021-42278 avec CVE-2021-42287 pour « créer un chemin simple vers un utilisateur administrateur de domaine dans un environnement de site Active Directory qui n’a pas appliqué ces toutes nouvelles mises à jour.
Cette attaque d’escalade permet aux agresseurs d’élever rapidement leur privilège à celui d’un administrateur de domaine une fois qu’ils compromettent un utilisateur de routine dans le domaine », a déclaré Daniel Naim, ancien Superviseur de programme pour Microsoft Defender for Identity, dans un message.
Chaque instance de site Active Directory est sensible à cela, en particulier si vous n’avez pas installé les mises à jour sur vos contrôleurs de domaine.
Mauvaises configurations qui permettent aux adversaires d’accéder facilement à
Le principal moyen par lequel les agresseurs acquièrent un accès au réseau est le phishing. La prochaine manière dont les agresseurs entrent dans un domaine est par le biais de vulnérabilités ou de mauvaises configurations qui permettent un accès plus simple. De nombreuses configurations d’Active Directory que nous avons effectuées au fil du temps l’ont été parce que les applications métier en avaient besoin ou que nous ne comprenions pas que les applications métier nécessitent une configuration adéquate pour configurer correctement nos réseaux.
Comme Melber a noté que de nombreuses procédures d’authentification sont immédiatement installées lors de l’installation du site Active Directory : Kerberos, NTLM, NTLM v2 et LanManager. Les anciens protocoles NTLM et LanManager peuvent potentiellement être désactivés, mais vous ne souhaitez probablement pas désactiver sans filtrage.
Après avoir obtenu un nom d’utilisateur et un mot de passe pour un domaine, un adversaire se connecte et identifie si l’utilisateur a un compte de domaine et peut configurer une application logicielle. Les attaquants configurent généralement un outil appelé Explorateur de publicités qui identifie ce qui reste dans un domaine. Ils exploiteront les qualifications mises en cache, récolteront les mots de passe, puis détermineront si les informations d’identification extraites présentent des avantages sur le domaine.
L’une des meilleures méthodes pour protéger et rejeter les agresseurs, selon Melber, consiste à utiliser l’administrateur régional de Microsoft. Password Option (LAPS), qui définit un mot de passe aléatoire pour le compte administrateur régional afin que les assaillants ne puissent pas prendre le compte unique et ensuite se déplacer latéralement vers tous les postes de travail du domaine.
L’installation est simple et fonctionne pour créer un mot de passe aléatoire pour chaque poste de travail au lieu de garder le même pour chaque poste de travail. Il a également suggéré des politiques de mot de passe précises et la réalisation d’une authentification à deux facteurs. Si vous recherchez une interface Web pour LAPS, je suggère Overlaps pour Microsoft LAPS.
Melber a indiqué que les agresseurs identifient Active Directory avec PowerShell pour analyser les listes de contrôle actives (ACL), les membres du groupe et les utilisateurs droits. Il vous a recommandé de sécuriser les utilisateurs fortunés et les comptes de service en plus des ordinateurs, par exemple en solidifiant AdminSDHolder.
Si vous avez effectivement migré vers Exchange basé sur le cloud, vous n’avez peut-être pas supprimé le droit de modifier les autorisations des administrateurs Exchange. Évaluez qui a des droits dans AdminSDHolder et modifiez ou effacez les groupes ou les utilisateurs qui n’ont plus besoin de cette capacité.
Une autre erreur de configuration que Melber vous a suggéré d’évaluer est la délégation AD. La délégation Kerberos non sécurisée offre à une entité la possibilité de vous faire passer pour tout autre service sélectionné. Il suggère d’utiliser des outils d’évaluation AD car il n’est peut-être pas évident de savoir quels ajustements vous devez apporter.
L’un de ces outils est Microsoft Azure AD Secure Rating si vous avez une publicité hybride et un test de délégation Kerberos. Si vous disposez d’AD sur site, utilisez l’outil d’examen Tenable.AD pour déterminer les faiblesses et les erreurs de configuration.
Attaque Kerberoast golden ticket
Kerberoast est une autre attaque séquence que les acteurs de la menace utilisent. Aucune journalisation n’est effectuée dans le domaine pour documenter l’attaque jusqu’à ce que l’agresseur ait un ticket en or et que le jeu vidéo soit déjà terminé.
Comparez la demande de tickets dorés avec une demande antérieure de service d’octroi de tickets (TGS). S’il n’y a pas de demande précédente de ticket d’octroi de tickets (TGT) dans une fenêtre de temps, la demande TGS non correspondante peut être associée à une attaque par ticket d’or.
Active Directory ne disparaît pas, ni attaques contre elle. Il est temps pour les administrateurs AD de faire leurs devoirs et de s’assurer que vous faites plus que simplement corriger.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
