Pour gérer vos consentements :

Pourquoi les hackers sont à la recherche des « Golden Tickets » Active Directory

S’ils s’en emparent, les hackers ont accès à l’intégralité du réseau d’une entreprise : fichiers, identifiants de connexion, paramètres système, etc. Comme dans le monde réel, l’obtention d’un tel niveau d’accès est rare, mais peut avoir des conséquences catastrophiques pour l’entreprise.

Cependant, même avec un niveau d’accès inférieur à Active Directory, les hackers peuvent commencer par explorer un système, puis élever leurs privilèges jusqu’à ce qu’ils tombent sur un filon.

En fait, Active Directory est essentiel à chaque étape de la chaîne cybercriminelle, de la reconnaissance à l’exfiltration en passant par le déni de service.

Connaître ses faiblesses

Active Directory utilise Kerberos en tant que principal mécanisme d’authentification. Kerberos authentifie les utilisateurs à l’aide de tickets, également appelés TGT (Ticket Granting Ticket). Bien que Kerberos garantisse un niveau de protection incroyablement élevé grâce à une cryptographie forte et à l’autorisation de tickets par un tiers, il reste un certain nombre de vulnérabilités que les hackers peuvent exploiter pour accéder à Active Directory.

Outre l’attaque par Golden Ticket mentionnée ci-avant, les Pass-the-Hash, Pass-the-Ticket et Silver Ticket figurent parmi les autres méthodes d’attaque populaires ciblant l’Active Directory. De nombreuses vulnérabilités d’Active Directory sont dues au chiffrement NTLM presque archaïque et très faible au regard des normes actuelles.

Par exemple, dans les attaques Pass-the-Hash, les hackers peuvent déchiffrer le mot de passe d’un hachage NTLM par force brute et s’authentifier auprès d’Active Directory. En fait, dans le cadre d’une attaque par Golden Ticket, les cybercriminels ont besoin du hachage NTLM du compte KRBTGT caché qui chiffre les jetons d’authentification pour les contrôleurs de domaine.

Outre les faiblesses techniques, les cybercriminels tenteront d’exploiter le facteur humain afin de s’introduire dans les systèmes d’une entreprise. Pour obtenir les identifiants de connexion des employés, ils leur envoient des e-mails trompeurs qui contiennent des liens et des pièces jointes malveillants, ou qui semblent émaner d’une instance officielle et les invitent à fournir leurs nom d’utilisateur et mot de passe.

Sécurité proactive

Il existe un certain nombre de mesures à mettre en œuvre pour empêcher les cybercriminels d’accéder à Active Directory et de s’emparer des clés du royaume. La première est de rassembler toutes les informations possibles sur son annuaire Active Directory : conventions de dénomination, règles de sécurité, utilisateurs, etc. Savoir, c’est pouvoir. Garder ces renseignements à portée de main aidera à mieux protéger Active Directory.

Ces informations doivent être tenues à jour via un suivi régulier de manière à pouvoir détecter toute connexion ou modification inhabituelle, et agir en conséquence. Il est impossible de surveiller manuellement Active Directory de manière rapide et approfondie. Heureusement, l’automatisation peut servir de garde-fou et alerter l’équipe de sécurité en cas d’activités ou de comportements suspects.

Il peut également se révéler utile de placer les précieux contrôleurs de domaine sur un serveur non directement connecté à Internet. En entravant les mouvements latéraux des hackers et l’élévation potentielle de privilèges, il leur sera plus difficile d’opérer.

Les entreprises doivent par ailleurs mettre en œuvre une politique de « moindre privilège ». Avec ce modèle, le personnel a uniquement accès aux fichiers et dossiers nécessaires à l’accomplissement de sa mission. Le principe de « moindre privilège » limite la capacité des cybercriminels à se déplacer sur un réseau dans la mesure où chaque compte bénéficie d’un accès restreint.

Une approche multiniveau

Même avec la meilleure technologie de cybersécurité du monde, les cybercriminels tenteront toujours de s’introduire dans un système en profitant des faiblesses humaines. Pour limiter les risques, le personnel doit être formé à la cybersécurité, et notamment à créer des mots de passe forts et à reconnaître les signes d’une attaque de phishing.

En guise de ligne de défense supplémentaire, les administrateurs système doivent disposer d’un compte pour les opérations de tous les jours, et d’un compte spécifique pour les modifications système. Ces comptes administrateur doivent être limités à certains systèmes afin d’empêcher les cybercriminels d’avoir accès à un réseau entier à partir d’un seul compte piraté.

La mise en œuvre proactive de cette approche multiniveau de la cybersécurité permettra aux entreprises de barrer l’accès des cybercriminels à Active Directory et d’éviter qu’ils ne se ruent vers l’or.

Recent Posts

Cybermenaces : comment protéger les infrastructures critiques

Si les cyberattaques contre les infrastructures critiques existeront toujours, tirer les leçons de précédentes attaques…

1 semaine ago

Prévention des ransomwares : la sauvegarde de l’Active Directory comme rempart

La restauration par phase de l’Active Directory est la méthode la plus rapide pour remettre…

1 semaine ago

Les 9 tendances fortes qui montrent que l’usage de la donnée est désormais incontournable en entreprise

Avec un usage qui gagne en maturité au sein des entreprises et différentes évolutions technologiques,…

2 semaines ago

Sécurité applicative : ce dont vous avez besoin pour la faire évoluer

L'état de l'art en matière de sécurité consiste à disposer de solutions sécurisées prêtes à…

2 semaines ago

La cybercriminalité as-a-Service s’affûte en 2022

Les programmes de Ransomware-as-a-service ont prouvé leur efficacité mais c’est aujourd’hui le programme Exploit-as-a-Service (EaaS)…

3 semaines ago

eIDAS 2.0 : que sait-on de la nouvelle réglementation sur l’identification électronique ?

eIDAS 2.0 devrait être mise en vigueur d’ici la fin 2022. Quels sont les principaux…

3 semaines ago