Défendre Active Directory : Contenir la menace de l'abus et de l'escalade des privilèges
Les attaquants tentent souvent d'élever les privilèges de leur compte pour se déplacer latéralement dans le réseau. Arrêtez les abus de privilèges dans Active Directory avec UserLock.
Mis à jour le 5 décembre 2024La gestion proactive des accès à Windows Active Directory (AD) est essentielle pour sécuriser les réseaux d'aujourd'hui. Voici comment UserLock, à partir de la release 12.2, vous permet de gérer et de créer des rapports sur l'authentification multifacteur (MFA) sur les invites UAC (User Account Control), atténuant ainsi la menace d'abus de privilèges.
Malheureusement, l'une des raisons de la vulnérabilité de la sécurité d'AD est que la taille et la complexité de la plate-forme font que de nombreux aspects de la sécurisation d'AD ne sont pas simples. C'est particulièrement vrai pour les comptes AD sur site, pour lesquels les organisations doivent assurer elles-mêmes la sécurité.
Les défis à relever sont les suivants :
la gestion des comptes à privilèges
la surveillance de l'escalade des privilèges
l’implémentation des couches de sécurité supplémentaires telles que la MFA.
Pour mettre en œuvre ces mesures de sécurité, les entreprises doivent se tourner vers des solutions tierces de sécurité d'accès et d'IAM.
Une bonne défense AD ne consiste pas seulement à arrêter les attaquants au point d'accès initial, mais aussi à rendre difficile leur déplacement latéral à l'intérieur du réseau une fois qu'ils ont pris une tête de pont.
En 2021, une attaque par ransomware contre Colonial Pipeline a entraîné pendant plusieurs jours de graves pénuries de carburant dans plusieurs États américains. Fait remarquable, il s'est avéré par la suite que la cause de cet incident national majeur pouvait être retracée jusqu'à un seul compte VPN mal sécurisé. Le gang du ransomware avait découvert sur le « dark web » une fuite d'informations d'identification pour ce compte. Bien qu'il s'agisse d'un compte inactif ou « périmé », la MFA n'était pas activée.
En utilisant ce compte, les attaquants ont accédé au réseau de l'entreprise, puis ont apparemment élevé les privilèges de leur compte pour se déplacer latéralement à l'intérieur du réseau.
La première faiblesse était l'existence d'un compte VPN inactif. Selon toute apparence, ce compte n'avait pas été détecté et déprovisionné. Il est intéressant de noter qu'il s'agit d'un problème courant. Microsoft estime que plus de 10 % des comptes AD sont dans cet état « inactif » risqué.
La deuxième faiblesse était que le compte VPN n'était pas sécurisé par MFA, bien qu'il s'agisse d'une mesure de sécurité d'accès recommandée pour tout compte AD, et encore plus pour un compte privilégié ou d'accès à distance.
Le troisième problème, et peut-être le plus alarmant de tous, est que les attaquants ont réussi à élever les privilèges dans AD. Ce n'est pas parce qu'un compte est un compte d'utilisateur standard dans AD que les attaquants ne peuvent pas l'élever à un niveau d'accès beaucoup plus privilégié et dangereux si les bonnes protections ne sont pas en place.
Bien que la violation de données de Colonial Pipeline soit un incident bien connu, ce n'est pas le seul exemple. De nombreuses autres cyberattaques ont exploité des faiblesses similaires dans la gestion et la sécurité de l'AD.
Pour les adversaires, aucune cible n'a plus de valeur que Windows Active Directory, la base de la plupart des systèmes de gestion des identités et des accès des organisations.
Le plus grand défi de la sécurité de l'AD est que sa surface d'attaque est énorme. Comme le souligne l'exemple de Colonial Pipeline, la partie la plus exposée de ce système est constituée par les comptes d'utilisateurs et les informations d'identification.
Ainsi, lorsque les experts parlent de compromission de mots de passe, ils parlent généralement de compromission de comptes Active Directory. Les attaquants tentent de compromettre les comptes d'utilisateurs AD non privilégiés pour pénétrer dans le réseau, ce qui leur donne un point d'entrée dans AD lui-même. Une fois à l'intérieur, ils ouvrent leur boîte de Pandore d'outils et de techniques pour continuer à manipuler AD de l'intérieur.
Cette question de la compromission des informations d'identification et des utilisateurs est au cœur de la sécurité d'AD. Chaque compte compromis existe quelque part dans AD. La façon dont les comptes sont gérés, contrôlés et sécurisés est donc un élément fondamental de la défense d'AD.
Exploitation et élévation des privilèges dans Active Directory
Il est facile de se méprendre sur la notion de privilèges dans Active Directory. Normalement, nous pensons que l'accès privilégié concerne exclusivement les comptes spéciaux, tels que ceux gérés par les administrateurs, qui confèrent des pouvoirs au niveau du système.
En réalité, AD dispose d'un ensemble de comptes d'utilisateurs privilégiés. Chacun d'entre eux dispose de droits d'accès légèrement différents, notamment les administrateurs d'entreprise, les administrateurs de domaine, les administrateurs de schéma, les administrateurs de stratégie de groupe, les administrateurs de sauvegarde, les administrateurs de compte et les comptes de service d'application. Dans certains cas, un compte administratif peut remplir plusieurs de ces rôles.
Les administrateurs sont généralement considérés comme une entité divine unique, alors pourquoi avoir autant de types d'administrateurs ? La réponse est que, comme pour la gestion de réseau en général, une bonne administration AD est basée sur le principe de la sécurité du moindre privilège. Chaque compte ne doit disposer que des privilèges nécessaires à l'accomplissement de la tâche qui lui est assignée. Ce principe est particulièrement important lorsque ces privilèges confèrent des pouvoirs de niveau administrateur.
Mais il s'ensuit que le même principe doit s'appliquer à tous les comptes. Cela soulève le fait important que tous les comptes dans AD - y compris les comptes d'utilisateurs les plus humbles - disposent de certains privilèges. Dans AD, même le privilège le plus élémentaire est un privilège qui présente un risque et qui doit donc être contrôlé.
Comme pour tout système informatique, le ventre mou d'AD est la capacité d'un attaquant à élever les privilèges.
Cela attire notre attention sur une technique commune à de nombreuses cyberattaques.
Les attaquants compromettent un compte utilisateur Active Directory ordinaire et peuvent ensuite élever ses privilèges pour atteindre des zones plus sensibles du réseau.
La leçon à en tirer ? Ne pas sous-estimer l'importance de sécuriser tous les comptes AD, y compris les plus simples.
Comment les attaquants élèvent-ils les privilèges ? Il existe de nombreuses techniques, notamment l'exploitation de vulnérabilités logicielles ou de mauvaises configurations internes et le détournement des processus AD internes. Cependant, les attaquants d'aujourd'hui sont tout aussi souvent aidés par des outils de réseau qui leur permettent d'identifier et de cibler les informations d'identification de comptes plus privilégiés. Si ces derniers n'ont pas été correctement sécurisés, les attaquants peuvent s'approprier les privilèges de ces comptes pour étendre leur accès.
La sécurisation d'AD nécessite bien sûr plusieurs couches de sécurité. Il s'agit notamment de se défendre contre les tentatives de phishing, d'imposer des mots de passe forts et de sécuriser tous les comptes à l'aide de MFA.
Cependant, un élément essentiel de la sécurité AD est la gestion des accès privilégiés, en se concentrant sur les comptes privilégiés, qui sont toujours la cible la plus importante des pirates dans toute attaque.
Il est essentiel de surveiller et d'auditer l'accès et les actions des comptes privilégiés, et de recevoir des alertes si un compte disposant d'un accès administrateur modifie les politiques. Cela permet de se prémunir non seulement contre les attaques externes, mais aussi contre les menaces internes.
Cependant, comme la gestion AD n'est jamais universelle - même pour les utilisateurs privilégiés - les administrateurs doivent être en mesure d'appliquer des politiques d'accès granulaires afin que ce type de compte puisse être autorisé soit à « lire » ou à voir les propriétés ou les membres du groupe sans les modifier, soit à « écrire » et à les modifier.
Pour empêcher l'élévation non autorisée des privilèges et prévenir les mouvements latéraux, vous pouvez appliquer UserLock MFA aux invites UAC (contrôle des comptes d'utilisateurs) affichées en tant que tâches administratives (par exemple, la désactivation d'un pare-feu) ou aux demandes d'exécution en tant qu'administrateur.
Les alertes relatives à ces demandes permettent également de mieux détecter les acteurs de la menace qui tentent de se déplacer dans votre réseau. Avec UserLock, vous pouvez configurer des alertes spécifiques pour les événements UAC.
Comme nous le savons tous, le MFA pour UAC n'est pas le même pour toutes les solutions MFA. Souvent, les solutions ne permettent aux administrateurs d'appliquer les invites MFA de l'UAC que sur une seule machine. Et presque toutes les solutions affichent les demandes d'UAC MFA comme un événement MFA du protocole de bureau à distance (RDP).
Comme UserLock reconnaît l'UAC comme un événement distinct, vous pouvez surveiller et établir des rapports sur les événements UAC séparément.
En fin de compte, la MFA sur les invites UAC est très efficace dans la lutte contre l'abus de privilèges et la compromission de l'AD. Par défaut, les invites UAC au niveau administrateur ne requièrent qu'un mot de passe. L'ajout de la MFA réduit considérablement la vulnérabilité de la surface d'attaque.
Défendre Active Directory n'est pas facile. Il s'agit d'une plateforme vaste et complexe qui suppose que les organisations mettent en place des couches de sécurité supplémentaires pour la défendre.
Pour réussir, les défenseurs doivent s'attaquer à un large éventail de menaces possibles :
Compromission des identifiants
Mouvement latéral à l'intérieur du réseau
Abus de privilèges et escalade des privilèges
Modification des fichiers système critiques
Menaces d'initiés privilégiés
En outre, les défenseurs doivent s'assurer que les solutions de sécurité qu'ils adoptent pour répondre aux exigences de conformité et de cyber assurance offrent également les avantages de sécurité nécessaires pour prévenir les menaces susmentionnées. Certaines solutions cochent des cases, d'autres offrent une sécurité efficace qui cochent également des cases - ces dernières sont plus difficiles à trouver.
Que faut-il en retenir ? Même si vous avez mis en œuvre des technologies telles que la MFA pour sécuriser la connexion, pouvez-vous contrôler et surveiller ce qui se passe une fois qu'un utilisateur obtient l'accès ?
Les attaquants comptent sur le fait que les organisations accordent moins d'attention à cette dimension de la défense AD. Et malheureusement, ils ont souvent raison. Les organisations ne consacrent pas autant d'efforts à la défense des actions internes dans AD qu'à l'accès initial.
Les cyberattaques réelles nous montrent que c'est une erreur. Ce qui se passe après qu'un attaquant ait obtenu un accès est tout aussi important que la compromission initiale.