Durant ces deux jours, celle-ci est motivée par trois grands axes : des workshops, de l’OSINT et des conférences. Ces présentations sont réalisées par des experts de différents domaines.
Parmi ces conférences lors de ma présence au salon le vendredi, je me suis arrêté sur la conférence « Active Directory ; Hall of Shame » animée par Nicolas Aunay (aka joker2a)
Durant celle-ci, il nous a présenté différentes façons de pénétrer un AD.
Mais avant ça, pourquoi l’Active Directory est autant prisé par les Hackers ?
L’Active Directory est considéré comme le cœur du système informatique, contrôler un AD, c’est être capable de tout contrôler.
Ce qui le rend aussi sensible, c’est parce qu’il contient beaucoup d’informations : les utilisateurs, les secrets et des politiques de sécurité.
Malheureusement, des élévations de privilèges afin de passer de simple utilisateur à administrateur sont faisables en peu de temps, souvent dues à de mauvaises configurations.
Il faut savoir qu’environ 50% des entreprises se font attaquer via leur AD et plus de 40% de celles-ci aboutissent à des vols d’informations et d’identifiants.
Afin de corriger tout ça, il est recommandé de réaliser des audits, d’établir le principe du moindre privilège et de bloquer les vieux protocoles considérés comme faibles.
Je vais donc résumer les différents vecteurs d’attaque qui ont été présenté.
DC Sync
Le principe du DCSync est qu’un utilisateur disposant de ce droit, peut se faire passer pour un contrôleur de domaine et ainsi demander des informations sensibles comme des hash de mots de passe à un autre contrôleur de domaine.
Pour se protéger de cette attaque, il est essentiel de désactiver ce droit qui pourrait être attribué à des groupes d’utilisateurs.
Des politiques de mot de passe trop faibles
Les politiques de mot de passe efficaces sont la pierre angulaire de la protection contre les attaques. Sans une bonne politique de mot de passe, on peut avoir, par exemple, des combinaisons nom d’utilisateur/mot de passe identiques ou des mots de passe très faibles qui peuvent donner accès au compte très facilement à un attaquant.
Il faut donc définir une politique de mot de passe forte afin d’éviter ce genre de problème facilement évitable.
Les descriptions des comptes utilisateurs
Un autre problème qui peut être rencontré c’est la présence des mots de passe dans les champs de description des utilisateurs. Il arrive souvent que le support renseigne le premier mot de passe dans la description afin de le fournir à l’utilisateur et celui-ci ne le change pas forcément.
Afin d’éviter ça, il faut sensibiliser le support sur cette mauvaise pratique et forcer l’utilisateur à modifier son mot de passe à la première connexion.
Les protocoles dits « faibles »
Parmi les protocoles considérés comme faibles, il y en a un encore trop souvent utilisé, c’est le NTLMv1.
Sa méthode de calcul du hash le rend assez simple à inverser et donc à retrouver le mot de passe (moins d’une journée pour un mot de passe de 8 caractères).
Il faut donc penser à désactiver ce protocole et utiliser à la place le NTLMv2 qui a une méthode de calcul plus complexe.
Les comptes de service mal gérés
Un compte de service est un compte utilisateur spécialement créé dans un AD pour permettre à une application de s'exécuter avec des droits d'accès spécifiques.
L’un des problèmes souvent rencontrés c’est que ces comptes ont souvent des mots de passe faibles, mais surtout des droits beaucoup trop élevés pour le besoin. Il peut donc être utilisé pour accéder à des ressources critiques en cas de compromission.
Lors de l’utilisation de ce genre de compte, il faut toujours leur appliquer le principe du moindre privilège et leur mettre des mots de passe robustes qui changent assez souvent.
Problème de délégation de droit
Tous les objets (comptes, fichiers, dossiers, …) sur Windows possèdent un système de droits. Lors de mauvaises configurations, il arrive que des droits trop larges soient appliqués sur certains fichiers ou dossiers par exemple.
Dans ce cas-là, prendre le contrôle d’un compte qui a des droits sur d’autres objets permet d’accéder à ce dernier.
Il est donc judicieux de vérifier les droits de chaque objet et de les restreindre autant que possible pour éviter les déplacements latéraux.
La mauvaise configuration AD CS
AD CS est un rôle d’Active Directory permettant la gestion de différents certificats. Une mauvaise configuration de celui-ci peut également permettre à un attaquant de compromettre certaines données.
L’attaque la plus connue, appelée ESC1, consiste à exploiter des modèles de certificat permettant à l’AD CS d’appliquer différents paramètres par défaut aux nouveaux certificats. Après analyse du modèle utilisé, il est possible de demander un certificat d’un compte à haut privilège et ainsi l’utiliser pour accéder à des ressources en se faisant passer pour lui.
Pour y remédier, il est important de vérifier les paramètres utilisés dans les modèles, s’ils sont actifs et nécessaires, afin que tout le monde ne puisse pas compromettre le certificat.
Les partages réseau accessibles
L’une des choses les plus présentes sur un réseau sont les partages réseau.
Ceux-ci sont malheureusement souvent mal configurés et beaucoup de personnes peuvent y accéder. Le premier problème, c’est la confidentialité de la donnée qui est donc très accessible. De plus, le contenu n’est pas toujours contrôlé. On peut, par exemple, y trouver des fichiers contenant des utilisateurs et des mots de passe de comptes à haut privilège.
Il faut donc penser à vérifier régulièrement les partages réseau et les droits associés ainsi que mettre en place des vérifications du contenu de ceux-ci.
Conclusion
Pour conclure, l’ensemble des vecteurs d’attaque qui ont été présentés ici auraient pu être majoritairement évités car il s’agit principalement d’erreurs de la part des administrateurs. Il convient donc de les former correctement à ces problématiques et mettre en place différentes procédures comme la réalisation d’audits et/ou l’utilisation de moyens de détection.
