Cybersécurité : les erreurs courantes de configuration réseau

Connaissez-vous Snaffler, SharpShares et Hashcat ? Le premier de ces outils open source peut permettre la découverte d’authentifiants. Le deuxième, l’inventaire de partages réseau sur un domaine. Le troisième, la récupération de mots de passe.

La CISA et la NSA y font référence dans un bulletin commun. Les deux agences américaines y répertorient quelques-unes des erreurs de configuration les plus communes sur les réseaux informatiques. Une liste fondée sur leur « expérience terrain », essentiellement dans les environnements Windows / Active Directory.

Parmi ces erreurs, il y a le contrôle d’accès insuffisant sur les partages et services réseau. C’est là qu’apparaît la référence à SharpShares, utilisé en complément à un logiciel propriétaire (SoftPerfect Network Scanner) pour exfiltrer des données depuis les partages en question.
Parmi les remèdes que proposent la CISA et la NSA figure l’activation de la stratégie de groupe bloquant l’énumération anonyme des comptes et partages SAM (Security Account Manager).

Les références à Haschat et Snaffler se trouvent dans l’item « mauvaise hygiène des authentifiants ». On parle là autant du stockage en clair que de la faiblesse des mots de passe (entre autres, moins de 15 caractères, voire 25 sur les comptes de service, avancent  la CISA et la NSA).

Segmentation, monitoring, correctifs…

Au-delà des mots de passe, il y a leurs hashs. On peut non seulement tenter de les craquer, mais aussi de s’en servir pour contourner certains protocoles d’authentification (attaques dites pass-the-hash). Les deux agences évoquent ce risque dans la rubrique « contournement des contrôles d’accès ». Elles y recommandent, outre la désactivation de protocoles hérités tels que NTLM, de limiter les communications entre postes pour compliquer la latéralisation.

L’authentification multifactorielle faible ou mal configurée est un autre écueil. Elle peut se traduire par une absence de résistance au phishing. Ou, par exemple, à l’absence de rotation des hashs. Pour automatiser leur randomisation, on pourra utiliser des stratégies de groupe ou Windows Hello for Business, expliquent la CISA et la NSA.

Autres remèdes pour une autre erreur commune : privilégier les conteneurs en lecture seule et limiter les langages de script afin d’éviter l’exécution non restreinte de code sur les hôtes.

La mauvaise gestion des correctifs est aussi sur la liste des erreurs courantes. Cela inclut l’usage de systèmes d’exploitation plus pris en charge et de firmwares obsolètes. La CISA et la NSA y ajoutent l’absence de segmentation réseau et le monitoring interne insuffisant. Sur le premier point, elles expliquent avoir pu accéder à des réseaux OT prétendument isolés, en dénichant des connexions réseau spécifiques, oubliées ou accidentelles. Sur le deuxième, elles évoquent le cas d’une organisation qui avait activé le monitoring sur les hôtes, mais pas au niveau réseau.

Élévation JIT recommandée

L’un des « gros morceaux » du bulletin concerne la séparation inappropriée des privilèges utilisateur / administrateur. La CISA et la NSA distinguent trois grands axes :

– Niveau excessif de privilèges
– Permissions élevées des comptes de service
– Usage de comptes privilégiés pour des tâches qui ne le nécessitent pas

Parmi les solutions recommandées :

– Implémenter l’élévation JIT pour les comptes à privilèges, en paramétrant une stratégie de désactivation automatique des comptes admin au niveau de l’AD
– Empêcher que des utilisateurs du domaine soient dans le groupe des admins locaux sur plusieurs systèmes
– Exécuter autant que possible des démons avec des comptes non administrateurs

Active Directory : gare à l’inscription web

L’autre « gros morceau », ce sont les configurations par défaut des systèmes, services et applications. Cela commence par les authentifiants. Une recherche web peut suffire à en découvrir.
La CISA et la NSA s’arrêtent, en particulier, sur le cas des imprimantes qui peuvent héberger des comptes à privilèges pour faciliter le téléversement de documents.

Les authentifiants par défaut sont une chose. Les permissions et les paramétrages en sont une autre. Illustration avec les services de certificats Active Directory (ADCS). L’activation du rôle d’inscription web sur un serveur ouvre une voie d’attaque potentielle. Un tiers non authentifié peut pousser ledit serveur à communiquer avec une machine qu’il contrôle et obtenir un certificat. Lequel lui permettra de se faire passer pour une entité de confiance sur le réseau.

Des templates à surveiller

Attention aussi aux templates ADCS. Un utilisateur sans privilèges mais qui dispose des droits d’inscription pourrait spécifier un nom alternatif de sujet dans les requêtes de signature. Et obtenir ainsi un certificat correspondant au nom principal d’utilisateur d’un compte à privilèges.

Dans les environnements où l’inscription web est nécessaire, on aura soin d’activer la protection étendue de l’authentification. Et, en parallèle, de forcer l’usage de SSL sur le serveur. Au niveau des templates, on pourra désactiver le paramètre CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT. Et ne pas accorder les permissions FullControl, WriteDacl et Write pour les groupes sans privilèges.

Le protocole SMB est un autre point à surveiller. La config par défaut n’exige pas la signature des messages réseau, y compris sur la dernière version de Windows.

À consulter en complément :

Gestion des accès à privilèges (PAM) : ce qui s’impose au-delà du SaaS
Mots de passe : la rotation est-elle encore une solution ?
Cybersécurité : les outils open source que conseille l’ANSSI américaine
La synchronisation cloud des codes MFA pointée du doigt
Top 25 CWE : entre 2019 et 2023, ces failles devenues plus dangereuses

Illustration générée par IA