Pourquoi les hackers sont à la recherche des « Golden Tickets » Active Directory

Politique de sécuritéSécurité

Dans le monde numérique, l’identifiant de l’administrateur des données stockées dans l’annuaire Active Directory, équivaut à la clé de coffre-fort dans lequel seraient stockées toutes les clés d’accès physiques de l’entreprise. Cet identifiant est connu sous le nom de « Golden Ticket ».

S’ils s’en emparent, les hackers ont accès à l’intégralité du réseau d’une entreprise : fichiers, identifiants de connexion, paramètres système, etc. Comme dans le monde réel, l’obtention d’un tel niveau d’accès est rare, mais peut avoir des conséquences catastrophiques pour l’entreprise.

Cependant, même avec un niveau d’accès inférieur à Active Directory, les hackers peuvent commencer par explorer un système, puis élever leurs privilèges jusqu’à ce qu’ils tombent sur un filon.

En fait, Active Directory est essentiel à chaque étape de la chaîne cybercriminelle, de la reconnaissance à l’exfiltration en passant par le déni de service.

Connaître ses faiblesses

Active Directory utilise Kerberos en tant que principal mécanisme d’authentification. Kerberos authentifie les utilisateurs à l’aide de tickets, également appelés TGT (Ticket Granting Ticket). Bien que Kerberos garantisse un niveau de protection incroyablement élevé grâce à une cryptographie forte et à l’autorisation de tickets par un tiers, il reste un certain nombre de vulnérabilités que les hackers peuvent exploiter pour accéder à Active Directory.

Outre l’attaque par Golden Ticket mentionnée ci-avant, les Pass-the-Hash, Pass-the-Ticket et Silver Ticket figurent parmi les autres méthodes d’attaque populaires ciblant l’Active Directory. De nombreuses vulnérabilités d’Active Directory sont dues au chiffrement NTLM presque archaïque et très faible au regard des normes actuelles.

Par exemple, dans les attaques Pass-the-Hash, les hackers peuvent déchiffrer le mot de passe d’un hachage NTLM par force brute et s’authentifier auprès d’Active Directory. En fait, dans le cadre d’une attaque par Golden Ticket, les cybercriminels ont besoin du hachage NTLM du compte KRBTGT caché qui chiffre les jetons d’authentification pour les contrôleurs de domaine.

Outre les faiblesses techniques, les cybercriminels tenteront d’exploiter le facteur humain afin de s’introduire dans les systèmes d’une entreprise. Pour obtenir les identifiants de connexion des employés, ils leur envoient des e-mails trompeurs qui contiennent des liens et des pièces jointes malveillants, ou qui semblent émaner d’une instance officielle et les invitent à fournir leurs nom d’utilisateur et mot de passe.

Sécurité proactive

Il existe un certain nombre de mesures à mettre en œuvre pour empêcher les cybercriminels d’accéder à Active Directory et de s’emparer des clés du royaume. La première est de rassembler toutes les informations possibles sur son annuaire Active Directory : conventions de dénomination, règles de sécurité, utilisateurs, etc. Savoir, c’est pouvoir. Garder ces renseignements à portée de main aidera à mieux protéger Active Directory.

Ces informations doivent être tenues à jour via un suivi régulier de manière à pouvoir détecter toute connexion ou modification inhabituelle, et agir en conséquence. Il est impossible de surveiller manuellement Active Directory de manière rapide et approfondie. Heureusement, l’automatisation peut servir de garde-fou et alerter l’équipe de sécurité en cas d’activités ou de comportements suspects.

Il peut également se révéler utile de placer les précieux contrôleurs de domaine sur un serveur non directement connecté à Internet. En entravant les mouvements latéraux des hackers et l’élévation potentielle de privilèges, il leur sera plus difficile d’opérer.

Les entreprises doivent par ailleurs mettre en œuvre une politique de « moindre privilège ». Avec ce modèle, le personnel a uniquement accès aux fichiers et dossiers nécessaires à l’accomplissement de sa mission. Le principe de « moindre privilège » limite la capacité des cybercriminels à se déplacer sur un réseau dans la mesure où chaque compte bénéficie d’un accès restreint.

Une approche multiniveau

Même avec la meilleure technologie de cybersécurité du monde, les cybercriminels tenteront toujours de s’introduire dans un système en profitant des faiblesses humaines. Pour limiter les risques, le personnel doit être formé à la cybersécurité, et notamment à créer des mots de passe forts et à reconnaître les signes d’une attaque de phishing.

En guise de ligne de défense supplémentaire, les administrateurs système doivent disposer d’un compte pour les opérations de tous les jours, et d’un compte spécifique pour les modifications système. Ces comptes administrateur doivent être limités à certains systèmes afin d’empêcher les cybercriminels d’avoir accès à un réseau entier à partir d’un seul compte piraté.

La mise en œuvre proactive de cette approche multiniveau de la cybersécurité permettra aux entreprises de barrer l’accès des cybercriminels à Active Directory et d’éviter qu’ils ne se ruent vers l’or.


Auteur
En savoir plus 
Vice-président régional de l\'ingénierie des ventes, Europe continentale
Varonis
En savoir plus 

Livres blancs A la Une