Introduit en 1999, Microsoft Active Directory est le service de gestion des identités et des accès par défaut dans les réseaux Windows, responsable de l’attribution et de l’application des politiques de sécurité pour tous les points de terminaison du réseau. Avec lui, les utilisateurs peuvent accéder à diverses ressources sur les réseaux. Comme les choses ont tendance à le faire, les temps changent – et il y a quelques années, Microsoft a présenté Azure Active Directory, la version cloud d’AD pour étendre le paradigme AD, offrant aux organisations une identité en tant que Solution de service (IDaaS) sur les applications cloud et sur site. (Notez qu’à compter du 11 juillet 2023, ce service a été renommé ID d’entrée Microsoftmais par souci de simplicité, nous l’appellerons Azure AD dans cet article)

Active Directory et Azure AD sont tous deux essentiels au fonctionnement des écosystèmes sur site, basés sur le cloud et hybrides, jouant un rôle clé dans la disponibilité et la continuité des activités. Et avec 90 % des organisations utilisant le service pour l’authentification des employés, le contrôle d’accès et la gestion des identifiants, il est devenu la clé du château proverbial.

Active Directory, activement problématique

Mais aussi central soit-il, la posture de sécurité d’Active Directory fait souvent cruellement défaut.

Jetons un coup d’œil à la façon dont Active Directory affecte les utilisateurs, ce qui nous éclairera sur les raisons pour lesquelles cet outil a, dirons-nous, des problèmes qui lui sont associés.

À la base, ce que fait Active Directory est d’établir des groupes auxquels sont associés des rôles et des autorisations. Les utilisateurs se voient attribuer un nom d’utilisateur et un mot de passe, qui sont ensuite liés à leur objet de compte Active Directory. À l’aide du protocole léger d’accès à l’annuaire, les mots de passe sont vérifiés comme étant corrects ou incorrects et le groupe d’utilisateurs est également vérifié. En général, les utilisateurs sont affectés au groupe d’utilisateurs du domaine et auront accès aux objets auxquels les utilisateurs du domaine sont autorisés à accéder. Ensuite, il y a les administrateurs – ce sont les utilisateurs affectés au groupe Admins du domaine. Ce groupe est hautement privilégié et est donc autorisé à effectuer toutes les actions dans le réseau.

Avec de telles capacités potentiellement puissantes, il est extrêmement important de s’assurer qu’Active Directory est géré et configuré de manière optimale. Des problèmes tels que des correctifs manqués, une mauvaise gestion des accès et des erreurs de configuration peuvent permettre aux attaquants d’accéder même aux systèmes les plus sensibles, ce qui peut avoir des conséquences désastreuses.

En 2022, nos recherches internes ont révélé que 73 % des principales techniques d’attaque utilisées pour compromettre des actifs critiques impliquaient des informations d’identification mal gérées ou volées – et plus de la moitié des attaques dans les organisations incluent un élément de compromission d’Active Directory. Et une fois qu’ils ont pris pied dans Active Directory, les attaquants peuvent effectuer de nombreuses actions malveillantes différentes, telles que :

  • Masquage d’activité dans le réseau
  • Exécution de code malveillant
  • Élévation des privilèges
  • Entrer dans l’environnement cloud pour compromettre des actifs critiques

Le fait est que si vous ne savez pas ce qui se passe dans votre Active Directory et si vous ne disposez pas des processus et des contrôles de sécurité appropriés, vous laissez probablement la porte grande ouverte aux attaquants.

Image de livre électronique

Téléchargez notre dernier rapport de recherche et découvrez

  • Le nombre d’étapes nécessaires aux attaquants pour compromettre vos actifs critiques
  • Principaux risques d’exposition et problèmes d’hygiène qui constituent les voies d’attaque
  • Principaux résultats liés aux attaques sur les réseaux hybrides, sur site ou multi-cloud.

Chemins d’attaque Active Directory

À partir du point de vue d’un attaquant, Active Directory constitue une excellente opportunité pour effectuer un mouvement latéral, car l’obtention de cet accès initial lui permet de passer d’un utilisateur à faibles privilèges à une cible plus précieuse – ou même de prendre entièrement le contrôle – en exploitant les mauvaises configurations ou trop autorisations excessives.

Examinons maintenant l’anatomie de 3 chemins d’attaque réels d’Active Directory et voyons comment les attaquants se sont frayés un chemin dans cet environnement.

Voici un chemin d’attaque que nous avons rencontré dans l’environnement de l’un de nos clients :

L’organisation était profondément engagée à renforcer sa posture de sécurité, mais Active Directory était un angle mort. Dans ce cas, tous les utilisateurs authentifiés – essentiellement tous les utilisateurs – du domaine avaient accidentellement obtenu le droit de réinitialiser les mots de passe. Ainsi, si un attaquant prenait le contrôle d’un utilisateur Active Directory via le phishing ou d’autres techniques d’ingénierie sociale, il pourrait alors réinitialiser les mots de passe des autres utilisateurs et prendre le contrôle de n’importe quel compte du domaine. Une fois qu’ils ont vu cela, ils ont finalement compris que leur approche de sécurité Active Directory était nécessaire. pour monter de niveau afin qu’ils verrouillent et durcissent leurs pratiques de sécurité.

En voici un autre de l’Active Directory de l’un de nos clients ;

Nous avons découvert un chemin d’attaque utilisant le groupe d’utilisateurs authentifiés avec des autorisations pour changer le gPCFileSysPath de la politique GPO en un chemin avec des politiques malveillantes.

L’un des objets concernés était le conteneur d’utilisateurs AD, avec un objet enfant qui était un utilisateur faisant partie du groupe d’administrateurs de domaine. Tout utilisateur du domaine pouvait obtenir des autorisations d’administrateur de domaine – tout ce dont ils avaient besoin était qu’un utilisateur non privilégié soit la proie d’un e-mail de phishing pour compromettre l’ensemble du domaine. Cela aurait pu conduire à un compromis complet de leur domaine.

Prêt pour un de plus ? C’est ici:

Celui-ci commence par un attaquant infiltrant un environnement d’entreprise via un courrier de phishing qui, lorsqu’il est ouvert, exécute du code en utilisant une vulnérabilité sur une machine non corrigée. L’étape suivante a exploité les informations d’identification locales et de domaine de l’utilisateur Active Directory compromises grâce à des techniques de vidage d’informations d’identification. L’attaquant disposait alors des autorisations nécessaires pour s’ajouter à un groupe afin de pouvoir ajouter l’utilisateur Active Directory compromis à un groupe d’assistance Active Directory.

Le groupe d’assistance disposait des autorisations Active Directory pour réinitialiser les mots de passe des autres utilisateurs et, à ce stade, l’attaquant pouvait réinitialiser un mot de passe pour un autre utilisateur, de préférence un ancien administrateur hors d’usage. Maintenant qu’ils étaient administrateur, ils pouvaient effectuer de nombreuses activités nuisibles sur le réseau, telles que l’exécution de code malveillant en ajoutant une connexion par script à d’autres utilisateurs dans Active Directory.

Ce ne sont là que quelques moyens relativement simples pour les attaquants de se frayer un chemin dans les environnements Active Directory. En comprenant ces chemins d’attaque réels, les entreprises peuvent commencer à voir à quoi ressemblent leurs environnements Active Directory et AD Azure du point de vue de l’attaquant.

Regardez à la demande Comment surmonter les exploits d’Active Directory et prévenir les attaques pour apprendre :

  • Comment les expositions Active Directory (AD) combinées à d’autres techniques d’attaque forment des chemins d’attaque
  • Quel type d’actions l’attaquant peut-il effectuer une fois qu’il a compromis un utilisateur AD ?
  • Que faire pour améliorer la sécurité d’Active Directory

Conclusion

L’examen des chemins d’attaque peut aider à consolider ces environnements potentiellement délicats. En obtenant une vue complète des chemins d’attaque qui existent dans Active Directory dans les environnements sur site et cloud, les organisations peuvent apprendre comment les attaquants se déplacent latéralement avec une compréhension contextuelle de leur environnement, ce qui leur donne une visibilité sur la façon dont les problèmes peuvent se combiner pour faciliter les attaques. et usurper l’identité des utilisateurs, élever les privilèges et accéder aux environnements cloud.

Grâce à cette compréhension, les entreprises peuvent hiérarchiser ce qui doit vraiment être corrigé et renforcer les environnements pour empêcher que les faiblesses d’Active Directory ne soient exploitées par les acteurs de la menace.

A lire également

Les zero-days critiques dans les programmes d’installation Windows d’Atera exposent les utilisateurs à des attaques d’escalade de privilèges

Les zero-days critiques dans les programmes d’installation Windows d’Atera exposent les utilisateurs à des attaques d’escalade de privilèges

ParDavid

Les vulnérabilités zero-day dans les programmes d’installation Windows pour le logiciel de surveillance et de gestion à distance…