Démystification des attaques sur Active Directory

Vous n’avez pas pu assister à notre webinar sur l’Active Directory ? Nous vous proposons de revenir sur les quelques points clés.   Voir le webinar

Définition de l’Active Directory  

L’Active Directory a plus de 20 ans, il a été introduit au sein de Windows 2000 serveur. L’objectif de Microsoft était de centraliser toute la gestion IAM des parcs informatiques afin de faciliter l’administration et le déploiement de solutions dans les entreprises.  

Depuis, Microsoft a percé le marché avec une présence dans 90% des entreprises. Par conséquent, il est très prisé des attaquants. En 2020 et 2021, on déclare que 80% des attaques ransomwares passent par l’AD. En effet, grâce à la centralisation de l’authentification, il permet à un attaquant de se répandre sur facilement sur le réseau pour :  

• Compromettre les données dans le cadre d’une APT. 
• Chiffrer les ressources essentielles de l’entreprise. 

À chaque nouvelle version de l’Active Directory (AD), des nouveaux paramètres de configuration sont déployés, pas toujours bien compris. De plus votre société évolue et l’Active Directory recense tous ces changements. La gestion d’un AD peut ainsi vite devenir complète. De plus, le côté « legacy » des applications impose des fois l’utilisation de protocoles obsolètes qui peuvent mettre à mal la configuration de l’AD. 

Posséder un Active Directory sécurisé devient donc un challenge quotidien, surtout que de nouvelles techniques d’exploitation sont publiées tous les ans, notamment vis-à-vis du protocole Kerberos. 

Le but de ce webinar est de démystifier toutes les attaques utilisées pour compromettre un Active Directory et vous donner nos retours sur les cas réels d’utilisation de chacune d’entre-elles.  

>> Voir l’explication en vidéo 

Deux approches complémentaires 

XMCO réalise plus de 400 audits par an. Pour auditer les Active Directory nous proposons 2 approches.   

• Une approche test d’intrusion :
  l’objectif est de simuler un visiteur (boite noire), un stagiaire (boite grise), une attaque de Phishing ou encore une intrusion via un VPN.  
• Une approche dynamique avec notre offre IAMBuster  :
  Il s’agit d’évaluer la sécurité de l’Active Directory (boite blanche) à partir du fichier NTDS.dit. Notre offre permet de réaliser un audit de configuration poussée de l’AD en combinant un avec un audit sur tous les mots de passe. Cette approche assure une quasi-exhaustivité des risques couverts et évite les faux positifs d’un audit de configuration traditionnel. 

>> Découvrir IAMBuster 

Les mythes et approches non pertinentes  

1. « Lors des derniers tests sur les contrôleurs de domaines uniquement, aucune vulnérabilité n’a été identifiée »  

Les attaquants vont exploiter des vulnérabilités sur des serveurs reliés à l’Active Directory et non directement sur le contrôleur de domaine lui-même. Seul un audit de configuration de type IAMBuster sur les contrôleurs de domaine uniquement permet d’identifier les vulnérabilités liées à la configuration de ce dernier de manière exhaustive.  

2. « Est-ce que je suis vulnérable aux attaques de type Golden Ticket »   

C’est une fonctionnalité légitime de l’AD et non une vulnérabilité en soi. 

3. « Le parc est 100% à jour, je suis donc protégé contre toute attaque »  

Les versions à jour n’empêchent pas les défauts de configuration ou les mots de passe faibles. 

Découvrir les explications 

La probabilité qu’un attaquant devienne administrateur de domaine va dépendre de la gestion des comptes administrateurs de domaine et du modèle d’administration.  

Les points d’entrée sur un Active Directory ne dépendent pas du composant en lui-même (mots de passe, données sensibles dans les partages…) 

La configuration renforcée de l’Active Directory permet de garder l’attaquant en périphérie en attendant de le détecter.  

>> En savoir plus sur nos recommandations