ISGroup Conseil en Cybersécurité

Microsoft Active Directory : Techniques d’Ethical Hacking

L’infrastructure Microsoft Active Directory (AD) constitue la pierre angulaire de la gestion des identités et des accès pour une vaste majorité d’organisations à l’échelle mondiale. Sa centralité dans le contrôle de l’authentification, de l’autorisation et des politiques de sécurité en fait une cible privilégiée pour les cyberattaques. Un environnement AD compromis peut entraîner des conséquences dévastatrices, notamment la perte de données sensibles, l’interruption des services et des dommages réputationnels significatifs.

Pour contrer efficacement ces menaces, les organisations s’appuient de plus en plus sur l’ethical hacking (piratage éthique). Cet article se veut un guide pratique et approfondi sur les techniques d’attaque les plus courantes visant Active Directory, illustrant comment les ethical hackers les répliquent pour découvrir des faiblesses, tout en fournissant des indications sur les méthodes de détection et les stratégies de mitigation.

Pourquoi Microsoft Active Directory est-il une cible critique ?

Active Directory est un système complexe qui gère des milliers d’objets, interagissant entre eux via des configurations, des permissions et des relations complexes. Cette complexité, bien que nécessaire pour la gestion d’environnements informatiques étendus, peut également dissimuler des erreurs de configuration et des vulnérabilités exploitables.

Après avoir obtenu un accès initial à un environnement Active Directory, les attaquants malveillants mènent fréquemment une phase d’énumération pour recueillir des informations détaillées sur la structure, les objets, les configurations et les relations spécifiques à chaque organisation. En acquérant une compréhension approfondie de l’environnement AD, souvent supérieure à celle de l’organisation elle-même, les cybercriminels peuvent cibler les systèmes avec une plus grande probabilité de succès, exploitant les faiblesses et les mauvaises configurations pour élever leurs privilèges, se déplacer latéralement au sein du réseau et, en fin de compte, obtenir le contrôle total du domaine Active Directory.

Bien qu’un accès significatif puisse également être obtenu en compromettant d’autres comptes utilisateurs, tels que les comptes de service, empêcher les attaquants d’acquérir les privilèges maximaux est fondamental pour limiter leur portée globale. Par conséquent, protéger Active Directory devrait représenter une priorité absolue pour toutes les organisations.

Techniques d’attaque courantes sur Microsoft Active Directory

Les ethical hackers, armés de la connaissance des tactiques, techniques et procédures (TTP) des adversaires réels, simulent une série d’attaques courantes pour évaluer la sécurité d’Active Directory. Voici quelques-unes des techniques les plus répandues :

Kerberoasting

Le Kerberoasting est une technique d’attaque qui exploite le système d’authentification Kerberos pour obtenir des identifiants. Les attaquants recherchent des comptes utilisateurs (souvent des comptes de service) ayant un Service Principal Name (SPN) enregistré. Un SPN identifie une instance de service à laquelle un compte est associé. Lorsqu’un utilisateur demande un ticket de service Kerberos (TGS) pour un service avec un SPN, le Key Distribution Center (KDC) délivre un ticket chiffré avec le mot de passe du compte de service.

Les attaquants peuvent demander ces TGS et, comme ils sont chiffrés, ils peuvent être téléchargés et soumis à des tentatives de déchiffrement hors ligne via des attaques par force brute pour révéler le mot de passe en clair du compte de service. Une fois un compte de service compromis, les attaquants peuvent exploiter les permissions associées à ce compte, qui peuvent parfois être élevées.

Le Kerberoasting peut être détecté en analysant les événements sur les contrôleurs de domaine. Des événements avec l’ID 4769 sont générés lorsqu’un ticket TGS est demandé. Un nombre élevé de demandes TGS pour le même compte de service sur une courte période ou des demandes utilisant le type de chiffrement RC4 (valeur ‘0x17’ dans le champ “Ticket Encryption Type”), moins fréquemment utilisé, peuvent indiquer une activité de Kerberoasting.
De plus, des valeurs spécifiques dans le champ “Ticket Options” (‘0x40800000’ ou ‘0x40810000’), souvent utilisées par les outils d’attaque, peuvent être des indicateurs. Les modifications apportées aux comptes utilisateurs qui ajoutent et suppriment rapidement des SPN (événements 4738 et 5136) peuvent également suggérer des tentatives de préparation d’une attaque Kerberoasting.

Mitigation :

  • Utiliser des mots de passe complexes et uniques pour tous les comptes, y compris les comptes de service.
  • Surveiller les événements de sécurité sur les contrôleurs de domaine à la recherche d’activités suspectes liées aux demandes de tickets Kerberos.
  • Appliquer le principe du moindre privilège, en s’assurant que les comptes de service n’ont que les permissions nécessaires pour remplir leurs fonctions.
  • Limiter l’utilisation du chiffrement RC4 pour les tickets Kerberos, dans la mesure du possible, car il est plus sensible aux attaques par force brute.

AS-REP Roasting

La technique de AS-REP Roasting cible les utilisateurs ayant l’option “Do not require Kerberos preauthentication” activée sur leurs comptes. Dans cette configuration, lorsqu’un utilisateur demande un ticket d’octroi de ticket (TGT) au KDC (Authentication Server – AS), le KDC répond avec un TGT partiellement chiffré en utilisant le mot de passe de l’utilisateur comme clé, sans exiger de pré-authentification.

Un attaquant peut exploiter ce paramètre pour demander des TGT pour les comptes cibles. Le TGT reçu, bien qu’inutilisable sans le mot de passe, contient des informations qui peuvent être extraites et soumises à des tentatives de cracking hors ligne pour récupérer le mot de passe de l’utilisateur.

La détection de l’AS-REP Roasting peut être complexe car l’activité elle-même est une demande d’authentification Kerberos valide. Cependant, un nombre élevé de demandes AS pour des comptes spécifiques ayant l’option “Do not require Kerberos preauthentication” activée, surtout s’ils proviennent d’une source unique suspecte, pourrait être un indice. L’utilisation d’Active Directory canaries, des comptes fictifs créés spécifiquement pour être lus par les attaquants lors de la reconnaissance, peut aider à détecter les activités d’énumération associées à cette technique.

Mitigation :

  • Désactiver l’option “Do not require Kerberos preauthentication” pour tous les comptes utilisateurs, sauf si cela est strictement nécessaire et justifié par des exigences applicatives spécifiques.
  • Surveiller les modifications apportées aux comptes utilisateurs qui pourraient activer cette option.
  • Mettre en œuvre des Active Directory canaries pour détecter les activités de reconnaissance suspectes.

Password spraying

Le Password Spraying est une attaque par force brute “à faible impact” qui tente de s’authentifier sur plusieurs comptes utilisateurs en utilisant un nombre limité de mots de passe courants. L’objectif est d’exploiter des mots de passe faibles ou réutilisés sur plusieurs comptes, tout en minimisant le risque de verrouillage des comptes dû à trop de tentatives de connexion infructueuses sur un seul compte. Les mots de passe utilisés peuvent provenir de listes publiques de mots de passe courants ou être dérivés d’informations spécifiques sur l’organisation cible pour augmenter la probabilité de succès.

Si un attaquant parvient à compromettre un compte via le password spraying, il obtient le contrôle de ce compte et en hérite des accès et des privilèges. Cette technique est particulièrement efficace contre les organisations où la réutilisation des mots de passe est répandue.

Le Password Spraying peut être détecté en surveillant les journaux d’authentification sur les contrôleurs de domaine à la recherche d’un grand nombre de tentatives de connexion infructueuses provenant d’une seule source IP ou d’un nombre limité de sources IP, dirigées vers un grand nombre de comptes utilisateurs différents. Les systèmes de Security Information and Event Management (SIEM) sont des outils précieux pour corréler ces événements et identifier des modèles suspects.

Mitigation :

  • Appliquer des politiques de mots de passe forts et complexes et imposer leur rotation périodique.
  • Mettre en œuvre le verrouillage des comptes après un nombre limité de tentatives de connexion infructueuses.
  • Activer l’authentification multi-facteurs (MFA) pour ajouter une couche de sécurité supplémentaire.
  • Surveiller les journaux d’authentification à la recherche d’activités suspectes.
  • Éduquer les utilisateurs sur l’importance de mots de passe uniques et complexes et sur les risques liés à la réutilisation des mots de passe.

DCSync

DCSync est une technique d’attaque post-compromission qui permet à un attaquant disposant d’identifiants compromis (souvent via l’obtention de privilèges Domain Admin) de répliquer les données d’Active Directory depuis un contrôleur de domaine, y compris les hashs de mots de passe des utilisateurs et d’autres attributs sensibles. Cette technique exploite le protocole de réplication utilisé par les contrôleurs de domaine pour synchroniser les informations entre eux.

Un attaquant exécutant une attaque DCSync peut obtenir les hashs de mots de passe de tous les utilisateurs du domaine, y compris les comptes disposant des privilèges les plus élevés, sans avoir besoin d’accéder physiquement ou localement à un contrôleur de domaine. Ces hashs peuvent ensuite être utilisés pour des attaques hors ligne de cracking de mots de passe ou pour des attaques “pass-the-hash” afin de s’authentifier sur d’autres systèmes.

La détection de DCSync peut être difficile car elle exploite un protocole de communication légitime. Cependant, il est possible de surveiller les événements sur les contrôleurs de domaine liés aux demandes de réplication. Les événements avec l’ID 4662 montrant des accès à des objets Active Directory, en particulier l’objet Directory Service, par des comptes non autorisés pour de telles opérations de réplication, ou un volume inhabituellement élevé de trafic de réplication provenant d’un hôte compromis, peuvent être des indicateurs de DCSync. L’utilisation d’Active Directory canaries peut également aider à détecter les tentatives d’accès aux objets canary associés à cette technique.

Mitigation :

  • Protéger rigoureusement les comptes à privilèges élevés, en limitant le nombre de comptes membres des groupes Domain Admins et Enterprise Admins.
  • Surveiller attentivement les journaux de sécurité sur les contrôleurs de domaine pour détecter des activités de réplication anormales.
  • Mettre en œuvre le principe du moindre privilège pour tous les comptes.
  • Renforcer la sécurité des terminaux pour prévenir la compromission de comptes à privilèges.

Golden Ticket

Un Golden Ticket est un ticket d’octroi de ticket (TGT) Kerberos forgé qui permet à un attaquant de s’authentifier sur n’importe quel service au sein du domaine Active Directory. Cette technique peut être exécutée si un attaquant a compromis le compte krbtgt, le compte de service utilisé par le KDC pour signer tous les tickets Kerberos. Obtenir le hash du mot de passe du compte krbtgt (souvent via DCSync) permet à l’attaquant de créer des TGT falsifiés qui sont considérés comme valides par tous les membres du domaine.

Les Golden Tickets garantissent un accès persistant et illimité à l’environnement AD, permettant aux attaquants d’effectuer n’importe quelle action comme s’ils étaient administrateurs du domaine, sans laisser de traces d’authentification significatives après la création du ticket.

La détection des Golden Tickets est difficile car les tickets falsifiés apparaissent légitimes. Cependant, certaines anomalies peuvent être détectées :

  • Demandes de tickets avec une durée de validité inhabituellement longue.
  • Demandes de tickets provenant d’hôtes autres que des contrôleurs de domaine pour des services sensibles qui nécessiteraient normalement une interaction avec un DC.
  • Utilisation de valeurs de PAC (Privilege Attribute Certificate) incohérentes.
  • Surveillance des modifications non autorisées sur le compte krbtgt (événements 4765 et 4766).

Mitigation :

  • Protéger extrêmement rigoureusement le compte krbtgt. Le mot de passe doit être long, complexe et renouvelé régulièrement (idéalement en suivant les meilleures pratiques de gestion des clés de chiffrement).
  • Surveiller attentivement les journaux de sécurité sur les contrôleurs de domaine à la recherche d’anomalies dans les demandes de tickets Kerberos.
  • Mettre en œuvre des solutions de détection avancées capables d’analyser le trafic Kerberos à la recherche d’indicateurs de Golden Ticket.
  • Suivre les meilleures pratiques pour la sécurité des comptes à privilèges, y compris la minimisation de leur utilisation et la mise en œuvre de serveurs de rebond (bastion hosts).

Silver Ticket

Un Silver Ticket est un ticket de service Kerberos (TGS) forgé qui permet à un attaquant d’obtenir l’accès à un service spécifique sur une machine spécifique au sein du domaine Active Directory. Contrairement au Golden Ticket, qui nécessite la compromission du compte krbtgt, un Silver Ticket peut être créé si un attaquant a compromis un compte utilisateur ou ordinateur avec des privilèges suffisants pour extraire le hash du mot de passe d’un compte de service spécifique sur la machine cible.

Avec un TGS falsifié, l’attaquant peut s’authentifier directement sur le service cible (par exemple, le service de serveur de fichiers via CIFS/SMB, LDAP, SQL Server ou le service HOST pour l’accès via PowerShell Remoting) sans avoir à interagir avec un contrôleur de domaine pour l’authentification du service.

La détection des Silver Tickets est particulièrement complexe car l’authentification est isolée entre l’attaquant et la machine cible, évitant les journaux sur les contrôleurs de domaine. Pour détecter un Silver Ticket, il est nécessaire d’analyser les événements sur la machine cible. Il est moins courant que les organisations enregistrent les événements d’authentification sur toutes les stations de travail et serveurs, ce qui rend la détection plus difficile. Surveiller les événements de sécurité sur la machine cible liés à l’utilisation des services ciblés, en particulier les demandes d’accès anormales ou imprévues, peut fournir des indices.

Mitigation :

  • Protéger rigoureusement les mots de passe des comptes de service sur chaque machine.
  • Mettre en œuvre le principe du moindre privilège pour tous les comptes utilisateurs et de service.
  • Surveiller les journaux de sécurité non seulement sur les contrôleurs de domaine mais aussi sur les serveurs et stations de travail critiques à la recherche d’activités d’authentification anormales vers les services.
  • S’assurer que le groupe de sécurité “Domain Computers” n’a pas de permissions d’écriture ou de modification sur aucun objet dans Microsoft Active Directory. Tous les objets ordinateurs sont membres de ce groupe et, s’il dispose de droits sur d’autres objets, les attaquants pourraient les exploiter pour compromettre d’autres systèmes et élever leurs privilèges.

Compromission des Active Directory Certificate Services (AD CS) et Golden Certificate

La compromission des Active Directory Certificate Services (AD CS) peut mener à des scénarios d’attaque avancés, notamment l’émission de certificats frauduleux pour usurper l’identité de n’importe quel utilisateur ou service dans le domaine. Si un attaquant obtient un accès administratif à une Certification Authority (CA), il peut extraire le certificat de la CA et la clé privée.

Une fois obtenus, ces éléments peuvent être utilisés pour forger des Golden Certificates, c’est-à-dire des certificats valides pour l’authentification client qui permettent d’usurper l’identité de n’importe quel autre objet utilisateur dans le domaine. Les certificats créés avec la clé privée de la CA extraite sont considérés comme valides au sein du domaine jusqu’à leur révocation. Si la révocation n’est pas gérée périodiquement, les certificats pourraient rester valides indéfiniment, garantissant à l’attaquant une persistance à long terme sur le réseau.

La détection des compromissions AD CS nécessite la surveillance des événements liés à la gestion des certificats et aux modifications des configurations de la CA. Les événements avec l’ID 4900 sur les serveurs CA indiquent des modifications des paramètres de sécurité des modèles de certificats, qui pourraient introduire des conditions vulnérables comme la modification des droits d’inscription.

Mitigation :

  • Protéger rigoureusement les serveurs AD CS, en limitant l’accès administratif.
  • Surveiller les modifications apportées aux modèles de certificats et aux autorisations d’inscription.
  • Mettre en œuvre des contrôles rigoureux sur le processus d’émission et de révocation des certificats.
  • Utiliser des outils pour identifier les vulnérabilités AD CS tels que Certificate Manager (certmgr.msc), Certutil, PSPKIAudit et Certify.
  • Suivre les directives de durcissement (hardening) spécifiques à AD CS.

Comment se déroule la simulation d’attaques

Les ethical hackers mènent leurs simulations en suivant une méthodologie structurée qui inclut des phases de planification et de reconnaissance, de scanning, d’exploitation et d’analyse et de reporting. Cependant, contrairement à un test d’intrusion classique, l’ethical hacking sur des infrastructures complexes comme Active Directory implique des techniques plus avancées, le développement d’outils personnalisés pour découvrir des vulnérabilités cachées et des attaques sur le facteur humain (Ingénierie Sociale). Pour approfondir le rôle de la composante humaine dans ces scénarios, il est utile de lire comment l’ingénierie sociale s’intègre dans l’ethical hacking.

Les ethical hackers utilisent une vaste gamme d’outils pour simuler des attaques contre Microsoft Active Directory. Quelques exemples incluent :

  • Mimikatz : un outil puissant pour l’extraction d’identifiants depuis la mémoire, y compris les hashs de mots de passe, les tickets Kerberos et les clés de la CA.
  • Metasploit Framework : un framework open-source utilisé pour développer et exécuter des exploits, mener des activités de reconnaissance et de post-exploitation.
  • Acunetix et Nikto : des scanners de vulnérabilités web qui peuvent identifier des faiblesses dans les applications web interagissant avec Microsoft Active Directory.
  • Outils personnalisés et scripts développés pour simuler des TTP spécifiques.

Une phase cruciale dans le processus d’ethical hacking est l’analyse des résultats, qui repose largement sur le journalisation (logging) et l’audit. Les journaux fournissent un enregistrement détaillé des actions entreprises par les ethical hackers pendant la simulation, permettant de reconstruire les chemins d’attaque, d’identifier les vulnérabilités exploitées et d’évaluer l’efficacité des mécanismes de défense. Protéger l’intégrité des journaux et analyser les données de manière opportune est fondamental pour transformer les résultats de l’ethical hacking en actions concrètes pour améliorer la cybersécurité.

Si la sécurité de votre environnement Microsoft Active Directory est une priorité, envisagez d’adopter une approche proactive par le biais d’évaluations d’ethical hacking régulières pour garder une longueur d’avance sur les menaces en constante évolution.

Quelles compétences un ethical hacker doit-il posséder pour travailler sur Microsoft Active Directory ?

Un ethical hacker spécialisé dans Active Directory (AD) doit posséder un large éventail de compétences techniques et méthodologiques, compte tenu de la complexité et de la criticité de ce service d’annuaire, souvent cible primaire des attaquants en raison de son rôle central dans l’authentification et l’autorisation au sein des organisations.

Tout d’abord, une connaissance approfondie de l’architecture AD est fondamentale, y compris ses composants principaux tels que les domaines, forêts, relations d’approbation, objets de stratégie de groupe (GPO) et la structure des objets (utilisateurs, groupes, ordinateurs). Il doit comprendre les mécanismes d’authentification (Kerberos, NTLM, LDAP) et les vulnérabilités associées, ainsi que les configurations souvent erronées qui peuvent exposer l’environnement à des risques significatifs.

Sur le plan technique, l’ethical hacker doit maîtriser des techniques d’attaque avancées spécifiques à AD, notamment :

  • Kerberoasting et AS-REP Roasting
  • Pass-the-Hash et Pass-the-Ticket
  • DCSync
  • Golden Ticket et Silver Ticket
  • Password Spraying et Brute Force

Il doit également être expert dans l’utilisation d’outils spécialisés tels que :

  • BloodHound
  • Mimikatz
  • Impacket
  • ADExplorer et PingCastle

Outre les compétences techniques, la connaissance de frameworks et méthodologies structurées est essentielle, comme :

  • MITRE ATT&CK, pour simuler des techniques réelles utilisées par les adversaires
  • Threat-Led Penetration Testing (TLPT), surtout dans des contextes réglementés comme le secteur financier (DORA, TIBER-EU)
  • OSCP/OSEP pour des approches pratiques de l’exploitation

Un aspect crucial est l’utilisation de la threat intelligence pour contextualiser les attaques simulées, en se basant sur des menaces réelles et actuelles. L’ethical hacker doit également respecter rigoureusement les périmètres définis et les autorisations, garantissant que les activités sont menées de manière éthique et conforme aux réglementations.

Enfin, il doit être capable de documenter de manière claire et détaillée les vulnérabilités identifiées, les chemins d’attaque exploités et les recommandations de remédiation, en produisant des rapports qui aident l’organisation à renforcer sa sécurité. Pour avoir une vue d’ensemble de la terminologie et des concepts fondamentaux de l’ethical hacking, un glossaire de référence est disponible.

Formation et expérience :

Au-delà des compétences techniques, un ethical hacker travaillant sur Microsoft Active Directory doit posséder une formation solide et une expérience pratique consolidée. Étant donné la complexité des environnements AD et l’évolution continue des techniques d’attaque, un parcours d’apprentissage structuré est essentiel, incluant :

  • Certifications reconnues dans le domaine de la cybersécurité
  • Cours spécialisés sur Microsoft Active Directory, couvrant à la fois les aspects d’administration et de durcissement (hardening) ainsi que ceux de l’ethical hacking, tels que Active Directory Security, Red Teaming et AD Exploitation.
  • Participation à des laboratoires pratiques, permettant de tester ses compétences dans des scénarios réalistes, en simulant des attaques avancées et des défenses complexes.

L’expérience sur le terrain est tout aussi cruciale. Un ethical hacker efficace doit avoir accumulé des années de pratique en tests d’intrusion, red teaming et évaluations de sécurité, en affrontant des environnements AD dans des contextes organisationnels variés. Ce n’est qu’à travers une exposition continue à des scénarios réels qu’il est possible de développer cette mentalité tactique nécessaire pour :

  • Identifier des vulnérabilités non documentées ou des erreurs de configuration qui ne sont pas immédiatement évidentes.
  • Comprendre le comportement des adversaires et anticiper leurs mouvements.
  • S’adapter à des contextes réglementés (comme la finance ou la santé), où les évaluations doivent respecter des normes spécifiques (ex. DORA, NIS2).

Enfin, un ethical hacker doit maintenir une approche d’apprentissage continu, en se tenant constamment au courant des nouvelles menaces et des outils émergents. Les forums spécialisés, les conférences et le partage de threat intelligence sont des ressources précieuses pour rester à jour dans un paysage cyber en évolution constante.

Travailler sur Active Directory en tant qu’ethical hacker exige une combinaison de compétences techniques avancées, une connaissance approfondie d’AD, une familiarité avec les outils et méthodologies d’attaque/défense, des capacités d’analyse et de reporting, ainsi qu’une adhésion rigoureuse aux principes éthiques et réglementaires. Seule cette approche holistique permet d’identifier et de mitiger efficacement les risques dans les environnements AD, contribuant ainsi à construire des infrastructures plus résilientes.

Questions fréquentes sur l’ethical hacking sur Active Directory

Quelques questions qui émergent souvent lors de l’évaluation d’une activité d’ethical hacking sur des environnements Active Directory.

  • Quelle est la différence entre un test d’intrusion et une activité d’ethical hacking sur Active Directory ?
  • Un test d’intrusion sur AD suit un périmètre défini et teste des vulnérabilités connues dans un temps limité. L’ethical hacking est une approche plus large : il inclut des techniques avancées, le développement d’outils personnalisés, des attaques sur le facteur humain et la simulation de scénarios réalistes qui répliquent le comportement d’un adversaire réel. L’objectif n’est pas seulement de trouver des failles, mais de comprendre jusqu’où un attaquant pourrait aller.
  • À quelle fréquence est-il conseillé d’effectuer une évaluation d’ethical hacking sur l’environnement AD ?
  • Il n’y a pas de réponse universelle, mais en général, il est opportun de planifier au moins une évaluation annuelle, complétée par des vérifications ciblées après des changements significatifs de l’infrastructure (migrations, fusions, nouvelles intégrations cloud, modifications des GPO). Dans les secteurs réglementés comme la finance ou la santé, la fréquence peut être imposée par des réglementations spécifiques comme DORA ou NIS2.
  • Que contient typiquement le rapport final d’une activité d’ethical hacking sur Active Directory ?
  • Le rapport documente les vulnérabilités identifiées, les chemins d’attaque exploités (attack paths), les techniques utilisées avec référence au framework MITRE ATT&CK, une évaluation du risque pour chaque criticité et les recommandations de remédiation priorisées. Un bon rapport distingue toujours les problèmes structurels de configuration des faiblesses opérationnelles, en fournissant des indications concrètes pour les deux.

[Callforaction-EH-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *