Les agences Five Eyes publient des conseils sur la détection des intrusions dans Active Directory
Les agences gouvernementales des pays Five Eyes ont publié des conseils sur les techniques utilisées par les auteurs de menaces pour cibler Active Directory, tout en fournissant également des recommandations sur la manière de les atténuer.
Solution d’authentification et d’autorisation largement utilisée par les entreprises, Microsoft Active Directory fournit de multiples services et options d’authentification pour les actifs sur site et basés sur le cloud, et représente une cible précieuse pour les mauvais acteurs, affirment les agences.
« Active Directory est susceptible d’être compromis en raison de ses paramètres par défaut permissifs, de ses relations complexes et de ses autorisations ; prise en charge des protocoles existants et manque d’outils pour diagnostiquer les problèmes de sécurité Active Directory. Ces problèmes sont couramment exploités par des acteurs malveillants pour compromettre Active Directory. les conseils (PDF) lit-on.
La surface d’attaque d’AD est exceptionnellement vaste, principalement parce que chaque utilisateur dispose des autorisations nécessaires pour identifier et exploiter les faiblesses, et parce que la relation entre les utilisateurs et les systèmes est complexe et opaque. Il est souvent exploité par des acteurs malveillants pour prendre le contrôle des réseaux d’entreprise et persister dans l’environnement pendant de longues périodes, ce qui nécessite une récupération et une correction drastiques et coûteuses.
« Prendre le contrôle d’Active Directory donne aux acteurs malveillants un accès privilégié à tous les systèmes et utilisateurs gérés par Active Directory. Grâce à cet accès privilégié, les acteurs malveillants peuvent contourner à volonté d’autres contrôles et systèmes d’accès, notamment les serveurs de messagerie et de fichiers, ainsi que les applications commerciales critiques », souligne le guide.
Selon les agences auteurs, la priorité absolue des organisations pour atténuer les dommages causés par la compromission AD est de garantir un accès privilégié, ce qui peut être obtenu en utilisant un modèle à plusieurs niveaux, tel que le modèle d’accès à l’entreprise de Microsoft.
Un modèle à plusieurs niveaux garantit que les utilisateurs de niveau supérieur n’exposent pas leurs informations d’identification à des systèmes de niveau inférieur, que les utilisateurs de niveau inférieur peuvent utiliser les services fournis par les niveaux supérieurs, que la hiérarchie est appliquée pour un contrôle approprié et que les voies d’accès privilégiées sont sécurisées en minimisant leur nombre et en mettant en œuvre des protections et surveillance.
« La mise en œuvre du modèle Enterprise Access de Microsoft rend de nombreuses techniques utilisées contre Active Directory beaucoup plus difficiles à exécuter et rend certaines d’entre elles impossibles. Les acteurs malveillants devront recourir à des techniques plus complexes et plus risquées, augmentant ainsi la probabilité que leurs activités soient détectées », indique le guide.
Les techniques de compromission AD les plus courantes, montre le document, incluent Kerberoasting, AS-REP rôtir, pulvérisation de mot de passe, MachineAccountQuota compromis, exploitation de délégation sans contrainte, compromission de mots de passe GPP, compromission des services de certificats, Golden Certificate, DCSync, dumping ntds.dit, Golden Ticket, Silver Ticket, Golden SAML, compromission Microsoft Entra Connect, contournement unidirectionnel de l’approbation de domaine, compromission de l’historique SID et Skeleton Key.
« La détection des compromissions d’Active Directory peut être difficile, longue et gourmande en ressources, même pour les organisations disposant de capacités matures de gestion des informations et des événements de sécurité (SIEM) et de centre d’opérations de sécurité (SOC). En effet, de nombreuses compromissions d’Active Directory exploitent des fonctionnalités légitimes et génèrent les mêmes événements que ceux générés par une activité normale », indique le guide.
Une méthode efficace pour détecter les compromissions consiste à utiliser des objets Canary dans AD, qui ne s’appuient pas sur des journaux d’événements corrélés ou sur la détection des outils utilisés lors de l’intrusion, mais identifient la compromission elle-même. Les objets Canary peuvent aider à détecter les compromissions Kerberoasting, AS-REP Roasting et DCSync, affirment les agences auteurs.
En rapport: Les États-Unis et leurs alliés publient des directives sur la journalisation des événements et la détection des menaces
En rapport: Un groupe israélien revendique un piratage de l’eau au Liban alors que la CISA réitère son avertissement sur de simples attaques ICS
En rapport: Consolidation ou optimisation : qu’est-ce qui est le plus rentable pour une sécurité améliorée ?
En rapport: Normes de cryptographie post-quantique officiellement annoncées par le NIST – une histoire et une explication