Depuis 2012 sont apparues des publications à propos de la compromission de l'Active Directory et des vulnérabilités dans les mécanismes d'authentification Kerberos. Mimikatz, implémentant certaines attaques, et le site adsecurity.org fournissant un mode d’emploi deviennent de plus en plus connus. Votre Active Directory est-il en mesure de résister à ces nouvelles attaques ?
L’Active Directory (AD) a été un composant relativement épargné jusque-là par les chercheurs en sécurité. Mais du fait qu’il soit au cœur du système d’information et qu’il gère une grande partie de l’authentification, cela en fait une cible de choix. Les mesures préconisées pour l’impact d’une attaque sont l'isolation des comptes à privilèges (via la surveillance des comptes techniques ou l'installation de bastions) et des prestations d'audit sur le respect des bonnes pratiques de sécurité sur les Active Directory telle que la prestation ADSA (Active Directory Security Assessment [ADSA]) de Microsoft. Et si l’AD est compromis, la préconisation pour résoudre cette situation est de le reconstruire à partir de zéro. La vulnérabilité Kerberos MS14-068 permettant l'élévation via Kerberos comme administrateur du domaine publiée en novembre 2014 est un cas intéressant. Cette vulnérabilité consiste à accepter comme valide un ticket Kerberos où...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[COMPROMISSION] Chemins de contrôle en environnement Active Directory : http://www.ssi.gouv.fr/uploads/IMG/pdf/Lucas_Bouillot_et_Emmanuel_Gras_-_Chemins_de_controle_Active_Directory_--_planches.pdf
[EXTENDED] Droits étendus : https://technet.microsoft.com/en-us/library/ff405676.aspx
[krbtgt] Script de changement du mot de passe du compte krbtgt : https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51
[KERBEROAST] https://github.com/nidem/kerberoast
[JSSI] Est-il possible de sécuriser un domaine Windows ? http://www.ossir.org/jssi/jssi2014/JSSI_2014__Solucom_WinSec_vf.pdf
[MIMIKATZ] https://github.com/gentilkiwi/mimikatz