Non classé

Comment se protéger contre les attaques Active Directory DCShadow – Un serveur de qualité

Le 18 août 2020 - 7 minutes de lecture


DCShadow est une fonctionnalité de lsadump module pour Mimikatz. Mimikatz est un outil d'exploitation open source utilisé dans les attaques d'authentification Windows. DCShadow a été ajouté à Mimikatz en 2018, et il permet aux attaquants d'obtenir un accès privilégié persistant dans Windows Server Active Directory (AD), tout en permettant à l'attaquant de couvrir ses traces.

Les attaques contre AD sont courantes car elles contrôlent la sécurité de la plupart des systèmes de votre infrastructure informatique. Si un pirate informatique peut obtenir un accès privilégié à AD, il dispose également d'un accès privilégié à tous les serveurs et appareils connectés au domaine AD.

Comment DCShadow fonctionne-t-il?

Une attaque DCShadow détecte tous les périphériques Windows connectés au domaine AD en tant que contrôleur de domaine (DC) en créant deux nouveaux objets dans la partition de configuration du domaine. Il modifie également le nom du service (SPN) de l'ordinateur utilisé dans l'attaque.

L'attaque peut être effectuée à partir de Windows 10. Et bien que Windows 10 ne soit pas un contrôleur de domaine, DCShadow AD pense que Windows 10, ou un autre SKU client Windows, est en fait un contrôleur de domaine.

Lorsque le périphérique utilisé dans l'attaque est approuvé par l'AD pour reproduire les modifications dans le répertoire, l'attaquant pousse les modifications qui lui permettent de contrôler le domaine.

Une fois les modifications de l'attaquant répliquées, les nouveaux objets DC dans la partition de configuration sont supprimés, aidant l'attaquant à créer un accès persistant au domaine tout en évitant la détection. Résumer:

  1. L'attaquant détecte un contrôleur de domaine indésirable en créant des objets dans la partition de configuration AD
  2. L'attaquant réplique les modifications apportées à AD afin qu'il puisse maintenir l'endurance
  3. L'attaquant supprime le contrôleur de domaine "indésirable", qui ne peut exister que pendant quelques secondes

Accès privilégié à Active Directory

Avant qu'un attaquant puisse apporter des modifications à la partition de configuration d'AD, il a besoin d'un accès privilégié au domaine. Vous pouvez vous demander pourquoi faire tous les efforts pour enregistrer un DC indésirable si un attaquant a déjà un accès privilégié au domaine? Parce que DCShadow, c'est avant tout que l'attaquant essaie de ne pas être détecté le plus longtemps possible.

Il vaut mieux prévenir que guérir

La meilleure façon d'arrêter DCShadow et d'autres attaques contre AD est d'empêcher les pirates d'accéder à un accès privilégié. Les informations d'identification de l'administrateur de domaine sont généralement récoltées lorsque des pirates exploitent des vulnérabilités dans Windows. Par exemple, le personnel informatique peut utiliser les informations d'identification d'administrateur de domaine pour se connecter aux PC Windows afin de prendre en charge les utilisateurs. Plus tard, un appareil peut être compromis, ainsi que les informations d'identification de l'administrateur du domaine.

Des postes de travail privilégiés

Il est recommandé d'utiliser uniquement les informations d'identification d'administrateur de domaine et les autres comptes disposant d'un accès privilégié à AD, sur des postes de travail spécifiquement sécurisés et destinés à l'administration AD. Ces postes de travail sont appelés postes d'accès privilégié (PAW). Les PAW ne doivent pas être connectés à Internet public.

Déléguer des privilèges pour les tâches d'administration courantes

Les tâches quotidiennes de l'administrateur, telles que la gestion des utilisateurs, des groupes et des objets de stratégie de groupe AD, peuvent être déléguées aux utilisateurs sans leur donner un accès privilégié au domaine. La délégation de l'assistant de contrôle dans les utilisateurs et ordinateurs Active Directory (ADUC) peut être utilisée pour déléguer des privilèges pour effectuer des tâches d'administration courantes.

Voir Gérer l'accès privilégié à Active Directory sur Petri pour plus d'informations.

Protégez les comptes de domaine avec Windows 10 Credential Guard

Windows Defender Credential Guard offre une protection supplémentaire pour les comptes de domaine en isolant les informations d'identification dans une zone sécurisée à laquelle le noyau Windows n'a pas accès, même s'il est compromis. Credential Guard nécessite des appareils prenant en charge la sécurité basée sur la virtualisation (VBS).

Modèle de gestion en couches Active Directory

Le modèle de gestion en couches de Microsoft pour la gestion d'AD aide les organisations à mieux sécuriser les environnements. Le modèle définit trois couches qui créent des zones tampons pour séparer l'administration des PC à haut risque des actifs précieux tels que les contrôleurs de domaine.

Il n'est pas impossible de passer d'un niveau à un autre, mais le modèle augmente le coût pour les attaquants.

Pour plus d'informations sur l'implémentation d'un modèle de gestion à plusieurs niveaux, consultez Pourquoi vous devriez utiliser le modèle d'administration de niveau Active Directory de Microsoft et configurer Active Directory pour prendre en charge l'administration à plusieurs niveaux et les stations de travail à accès privilégié sur Petri.

Gestion d'identité privilégiée

Une solution de gestion des identités privilégiées (PIM) peut aider les organisations à surveiller et à contrôler l'accès privilégié à AD. Windows Server 2016 Shadow Principals et les groupes AD de courte durée aident les entreprises à prendre le contrôle d'Active Directory lorsqu'il est utilisé avec une forêt AD spécialement renforcée pour l'administration.

Image n ° 1 Développer

Comment se protéger contre les attaques Active Directory DCShadow (Crédit d'image: Microsoft)

PIM offre une meilleure sécurité pour les comptes AD privilégiés et permet également de fournir des comptes d'utilisateurs standard dans la forêt administrative qui obtiennent un accès administratif juste à temps (JIT) aux forêts de production.

Pour plus d'informations sur PIM, consultez Windows Server 2016: Comprendre l'environnement de gestion de la sécurité amélioré de Microsoft sur Petri.

Détection attaquée par DCShadow

Si vous n'empêchez pas une attaque pour une raison quelconque, il existe des outils tiers disponibles qui peuvent surveiller le flux de réplication AD et vous alerter des attaques telles que DCShadow.

Journal des événements Windows

DCShadow peut être détecté dans les journaux Windows en recherchant de nouveaux objets dans la partition de configuration. Mais lorsqu'un pirate a un accès privilégié à AD, il peut également supprimer les journaux d'événements.

L'ID d'événement de réplication de service d'annuaire 4928, «Un contexte de nom de source de réplique Active Directory a été créé» et l'ID d'événement 4929 «Un contexte de source de réplique Active Directory supprimé» peut indiquer un DCShadow attaque.

Surveillance du réseau

La surveillance des connexions réseau pour les appels DrsAddEntry et DrsReplicaAdding au contrôleur de domaine à partir de non-contrôleurs de domaine peut indiquer une attaque DCShadow. Les appels DrsAddEntry et DrsReplicaAdd ne doivent provenir que de contrôleurs de domaine.

Pour plus d'informations sur DCShadow, consultez le site officiel ici.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.