Comptes attrayants pour le vol d'informations d'identification
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Les attaques par vol d’informations d’identification sont celles dans lesquelles un attaquant obtient initialement l’accès (root, Administrateur ou SYSTEM, selon le système d’exploitation utilisé) avec les plus hauts privilèges sur un ordinateur dans un réseau, puis utilise librement les outils disponibles pour extraire les informations d’identification à partir des sessions d’autres comptes connectés. Selon la configuration du système, ces informations d’identification peuvent être extraites sous la forme de hachages, de tickets ou même de mots de passe en clair. Si l’une des informations d’identification collectées concerne des comptes locaux susceptibles d’exister sur d’autres ordinateurs sur le réseau (par exemple, des comptes d’administrateur dans Windows ou des comptes root dans OSX, UNIX ou Linux), l’attaquant présente les informations d’identification à d’autres ordinateurs sur le réseau pour propager la compromission à d’autres ordinateurs et essayer d’obtenir les informations d’identification de deux types de comptes spécifiques :
Comptes de domaine privilégiés avec des privilèges étendus et profonds (c’est-à-dire des comptes disposant de privilèges au niveau de l’administrateur sur de nombreux ordinateurs et dans Active Directory). Ces comptes ne sont peut-être membres d’aucun des groupes de privilèges les plus élevés dans Active Directory, mais ils ont peut-être reçu des privilèges de niveau administrateur sur de nombreux serveurs et stations de travail dans le domaine ou la forêt, ce qui les rend aussi puissants que les membres des groupes privilégiés dans Active Directory. Dans la plupart des cas, les comptes auxquels des niveaux de privilège élevés ont été accordés sur de larges étendues de l’infrastructure Windows sont des comptes de service. Par conséquent, les comptes de service doivent toujours être évalués pour l’étendue et la profondeur des privilèges.
Comptes de domaine « VIP ». Dans le contexte de ce document, un compte VIP est tout compte qui a accès aux informations souhaitées par un attaquant (propriété intellectuelle et autres informations sensibles), ou tout compte qui peut être utilisé pour accorder à l’attaquant l’accès à ces informations. Voici quelques exemples de ces comptes d’utilisateur :
Cadres dont les comptes ont accès à des informations d’entreprise sensibles
Comptes pour le personnel du support technique qui est responsable de la maintenance des ordinateurs et des applications utilisés par les cadres
Comptes pour le personnel juridique qui a accès aux documents d’offres et contrats d’une organisation, que les documents soient destinés à leur propre organisation ou à des organisations clientes
Planificateurs de produits qui ont accès aux plans et spécifications des produits dans le pipeline de développement d’une entreprise, quels que soient les types de produits que l’entreprise fabrique
Chercheurs dont les comptes sont utilisés pour accéder à des données d’étude, à des formulations de produits ou à toute autre recherche d’intérêt pour un attaquant
Étant donné que les comptes à privilèges élevés dans Active Directory peuvent être utilisés pour propager la compromission et manipuler les comptes VIP ou les données auxquelles ils peuvent accéder, les comptes les plus utiles pour les attaques de vol d’informations d’identification sont les comptes qui sont membres des groupes Administrateurs d’entreprise, Administrateurs de domaine et Administrateurs dans Active Directory.
Étant donné que les contrôleurs de domaine sont les référentiels de la base de données AD DS et que les contrôleurs de domaine ont un accès total à toutes les données dans Active Directory, les contrôleurs de domaine sont également ciblés pour la compromission, que ce soit en parallèle avec des attaques par vol d’informations d’identification ou après la compromission d’un ou plusieurs comptes Active Directory hautement privilégiés. Bien que de nombreuses publications (et de nombreux attaquants) se concentrent sur les appartenances au groupe Administrateurs de domaine lors de la description de l’usurpation d’identité (pass-the-hash) et d’autres attaques de vol d’informations d’identification (comme décrit dans Réduction de la surface d’attaque Active Directory), un compte membre de l’un des groupes répertoriés ici peut être utilisé pour compromettre l’ensemble de l’installation AD DS.
Notes
Pour plus d’informations sur les attaques d’usurpation d’identité (pass-the-hash) et d’autres attaques de vol d’informations d’identification, consultez le livre blanc Atténuation des attaques pass-the-hash (PTH) et autres techniques de vol d’informations d’identification répertorié en Annexe M : Liens vers des documents et lecture recommandée. Pour plus d’informations sur les attaques par des adversaires déterminés, parfois appelées « menaces persistantes avancées », consultez Adversaires déterminés et attaques ciblées.
Activités qui augmentent la probabilité de compromission
Comme la cible du vol d’informations d’identification est généralement un compte de domaine avec des privilèges élevés et des comptes VIP, les administrateurs doivent avoir conscience des activités qui augmentent la probabilité de succès d’une attaque par vol d’informations d’identification. Bien que les attaquants ciblent également des comptes VIP, si les VIP ne reçoivent pas des niveaux élevés de privilèges sur les systèmes ou dans le domaine, le vol de leurs informations d’identification nécessite d’autres types d’attaques, comme l’ingénierie sociale du VIP pour fournir les informations secrètes. Ou l’attaquant doit d’abord obtenir un accès privilégié à un système sur lequel les informations d’identification VIP sont mises en cache. Pour cette raison, les activités qui augmentent la probabilité de vol d’informations d’identification décrites ici sont principalement axées sur la prévention de l’acquisition d’informations d’identification administratives hautement privilégiées. Ces activités sont des mécanismes courants par lesquels les attaquants peuvent compromettre les systèmes pour obtenir des informations d’identification privilégiées.
Connexion à des ordinateurs non sécurisés avec des comptes privilégiés
La vulnérabilité principale qui permet la réussite des attaques par vol d’informations d’identification est la connexion sur des ordinateurs qui ne sont pas sécurisés avec des comptes largement et profondément privilégiés dans l’environnement. Ces ouvertures de session peuvent être le résultat de diverses configurations incorrectes décrites ici.
L’absence d’informations d’identification d’administration distinctes
Bien que cela soit relativement rare, lors de l’évaluation de diverses installations AD DS, nous avons constaté que certains employés informatiques utilisaient un seul compte pour l’ensemble de leur travail. Le compte est membre d’au moins l’un des groupes les plus privilégiés d’Active Directory. Il s’agit du même compte que celui utilisé par les employés pour se connecter à leurs stations de travail le matin, consulter leur messagerie, parcourir des sites Internet et télécharger du contenu sur leur ordinateur. Lorsque les utilisateurs travaillent avec des comptes auxquels des droits d’administrateur et des autorisations d’administrateur locaux sont accordés, ils exposent l’ordinateur local à une compromission complète. Lorsque ces comptes sont également membres des groupes les plus privilégiés dans Active Directory, ils exposent l’ensemble de la forêt à des compromissions, ce qui permet à un attaquant d’acquérir facilement le contrôle total de l’environnement Active Directory et Windows.
De même, dans certains environnements, nous avons constaté que les mêmes noms d’utilisateur et mots de passe sont utilisés pour les comptes root sur les ordinateurs non Windows que dans l’environnement Windows, ce qui permet aux attaquants d’étendre la compromission des systèmes UNIX ou Linux aux systèmes Windows et vice versa.
Connexion à des stations de travail compromises ou à des serveurs membres avec des comptes privilégiés
Lorsqu’un compte de domaine à privilèges élevés est utilisé pour se connecter de manière interactive à une station de travail ou à un serveur membre compromis, cet ordinateur compromis peut collecter des informations d’identification à partir de n’importe quel compte qui se connecte au système.
Stations de travail d’administration non sécurisées
Dans de nombreuses organisations, le personnel informatique utilise plusieurs comptes. Un compte est utilisé pour l’ouverture de session sur la station de travail de l’employé, et comme il s’agit du personnel informatique, il dispose souvent de droits d’administrateur local sur ses stations de travail. Dans certains cas, le contrôle de compte d’utilisateur est laissé activé afin que l’utilisateur reçoive au moins un jeton d’accès fractionné lors de l’ouverture de session et doive élever les privilèges quand ces derniers sont requis. Lorsque ces utilisateurs effectuent des activités de maintenance, ils utilisent généralement des outils de gestion installés localement et fournissent les informations d’identification pour leurs comptes à privilèges de domaine, en sélectionnant l’option Exécuter en tant qu’administrateur ou en fournissant les informations d’identification lorsqu’ils y sont invités. Bien que cette configuration puisse sembler appropriée, elle expose l’environnement à des compromissions pour les raisons suivantes :
- Le compte d’utilisateur « normal » que l’employé utilise pour se connecter à sa station de travail dispose de droits d’administrateur locaux. L’ordinateur est vulnérable aux attaques de téléchargement drive-by dans lesquelles l’utilisateur est convaincu d’installer des programmes malveillants.
- Le programme malveillant est installé dans le contexte d’un compte d’administration. L’ordinateur peut désormais être utilisé pour capturer des séquences de touches, du contenu du Presse-papiers, des captures d’écran et des informations d’identification résidant en mémoire, ce qui peut entraîner l’exposition des informations d’identification d’un compte de domaine puissant.
Les problèmes de ce scénario sont doubles. Tout d’abord, bien que des comptes distincts soient utilisés pour l’administration locale et l’administration de domaine, l’ordinateur n’est pas sécurisé et ne protège pas les comptes contre le vol. Deuxièmement, le compte d’utilisateur normal et le compte d’administration se sont vu accorder des droits et des autorisations excessifs.
Navigation sur Internet avec un compte à privilèges élevés
Les utilisateurs qui se connectent à des ordinateurs avec des comptes qui sont membres du groupe Administrateurs local sur l’ordinateur, ou des membres de groupes privilégiés dans Active Directory, et qui parcourent ensuite Internet (ou un intranet compromis) exposent l’ordinateur local et l’annuaire à la compromission.
L’accès à un site web conçu de manière malveillante avec un navigateur exécuté avec des privilèges d’administration peut permettre à un attaquant de déposer du code malveillant sur l’ordinateur local dans le contexte de l’utilisateur privilégié. Si l’utilisateur dispose de droits d’administrateur local sur l’ordinateur, les attaquants peuvent le tromper en téléchargeant du code malveillant ou en ouvrant des pièces jointes qui tirent parti des vulnérabilités de l’application et tirent parti des privilèges de l’utilisateur pour extraire les informations d’identification mises en cache localement pour tous les utilisateurs actifs sur l’ordinateur. Si l’utilisateur dispose de droits d’administration dans l’annuaire par appartenance aux groupes Administrateurs d’entreprise, Administrateurs de domaine ou Administrateurs dans Active Directory, l’attaquant peut extraire les informations d’identification de domaine et les utiliser pour compromettre l’ensemble du domaine ou de la forêt AD DS, sans avoir à compromettre un autre ordinateur de la forêt.
Configuration de comptes privilégiés locaux avec les mêmes informations d’identification à travers les systèmes
La configuration du même nom de compte administrateur local et du même mot de passe sur plusieurs ordinateurs ou sur tous les ordinateurs permet d’utiliser les informations d’identification volées dans la base de données SAM sur un ordinateur pour compromettre tous les autres ordinateurs qui utilisent les mêmes informations d’identification. Au minimum, vous devez utiliser des mots de passe différents pour les comptes d’administrateur locaux sur chaque système joint à un domaine. Les comptes d’administrateur local peuvent également avoir un nom unique, mais l’utilisation de mots de passe différents pour les comptes locaux privilégiés de chaque système est suffisante pour garantir que les informations d’identification ne peuvent pas être utilisées sur d’autres systèmes.
Surpopulation et surutilisation de groupes de domaines privilégiés
L’octroi de l’appartenance aux groupes EA, DA ou BA dans un domaine crée une cible pour les attaquants. Plus le nombre de membres de ces groupes est élevé, plus il est probable qu’un utilisateur privilégié abuse par inadvertance des informations d’identification et les expose à des attaques par vol d’informations d’identification. Chaque station de travail ou serveur sur lequel un utilisateur de domaine privilégié se connecte présente un mécanisme possible par lequel les informations d’identification de l’utilisateur privilégié peuvent être collectées et utilisées pour compromettre le domaine et la forêt AD DS.
Contrôleurs de domaine mal sécurisés
Les contrôleurs de domaine hébergent un réplica de la base de données AD DS d’un domaine. Dans le cas des contrôleurs de domaine en lecture seule, le réplica local de la base de données contient les informations d’identification d’un sous-ensemble des comptes de l’annuaire, dont aucun n’est un compte de domaine privilégié par défaut. Sur les contrôleurs de domaine en lecture-écriture, chaque contrôleur de domaine gère un réplica complet de la base de données AD DS, y compris les informations d’identification, non seulement pour les utilisateurs privilégiés comme les administrateurs de domaine, mais aussi pour les comptes privilégiés, comme les comptes de contrôleur de domaine ou le compte Krbtgt du domaine, qui est le compte associé au service KDC sur les contrôleurs de domaine. Si des applications supplémentaires qui ne sont pas nécessaires pour la fonctionnalité des contrôleurs de domaine sont installées sur des contrôleurs de domaine, ou si les contrôleurs de domaine ne sont pas rigoureusement corrigés et sécurisés, les attaquants peuvent les compromettre via des vulnérabilités non corrigées, ou ils peuvent tirer parti d’autres vecteurs d’attaque pour installer des logiciels malveillants directement dessus.
Élévation de privilèges et propagation
Quelles que soient les méthodes d’attaque utilisées, Active Directory est toujours ciblé lorsqu’un environnement Windows est attaqué, car il contrôle au final l’accès à ce que les attaquants veulent. Toutefois, cela ne signifie pas que l’ensemble de l’annuaire est ciblé. Les comptes, serveurs et composants d’infrastructure spécifiques sont généralement les cibles principales des attaques contre Active Directory. Ces comptes sont décrits comme suit.
Comptes privilégiés permanents
En raison de l’introduction d’Active Directory, il a été possible d’utiliser des comptes à privilèges élevés pour créer la forêt Active Directory, puis déléguer les droits et autorisations nécessaires pour effectuer l’administration quotidienne à des comptes moins privilégiés. L’appartenance aux groupes Administrateurs d’entreprise, Administrateurs de domaine ou Administrateurs dans Active Directory n’est requise que temporairement et rarement dans un environnement qui implémente des approches de privilèges minimum pour l’administration quotidienne.
Les comptes privilégiés permanents sont des comptes qui ont été placés dans des groupes privilégiés et qui y ont été laissés de jour en jour. Si votre organisation place cinq comptes dans le groupe Administrateurs du domaine pour un domaine, ces cinq comptes peuvent être ciblés 24 heures sur 24, sept jours sur sept. Toutefois, la nécessité réelle d’utiliser des comptes avec des privilèges d’administrateur de domaine est généralement uniquement pour une configuration spécifique à l’échelle du domaine, et pour de courtes périodes de temps.
Comptes VIP
Les comptes de « personnes très importantes » (ou VIP) sont une cible souvent ignorée des violations Active Directory dans une organisation. Les comptes privilégiés sont ciblés, car ces comptes peuvent accorder l’accès aux attaquants, ce qui leur permet de compromettre ou même de détruire des systèmes ciblés, comme décrit plus haut dans cette section.
Comptes Active Directory « attachés à des privilèges »
Les comptes Active Directory « attachés à des privilèges » sont des comptes de domaine qui n’ont été membres d’aucun des groupes qui ont les niveaux de privilèges les plus élevés dans Active Directory, mais qui ont reçu des niveaux de privilèges élevés sur de nombreux serveurs et stations de travail dans l’environnement. Ces comptes sont le plus souvent des comptes basés sur un domaine qui sont configurés pour exécuter des services sur des systèmes joints à un domaine, généralement pour les applications s’exécutant sur de grandes sections de l’infrastructure. Bien que ces comptes n’aient pas de privilèges dans Active Directory, s’ils bénéficient de privilèges élevés sur un grand nombre de systèmes, ils peuvent être utilisés pour compromettre ou même détruire de grands segments de l’infrastructure, en obtenant le même effet que la compromission d’un compte Active Directory privilégié.