La réalité des attaques Active Directory

Guide des administrateurs informatiques | August 26, 2022 | 7 min read

Avez-vous examiné certaines des attaques Active Directory (AD) les plus connues dans le monde ? Comprenez-vous les nuances de ces attaques Active Directory populaires et pouvez-vous mettre à profit les principes fondamentaux d’AD que vous avez appris dans les parties précédentes de cette série de blogs ?

La réalité des attaques Active Directory

Après avoir lu les méthodologies de violation d’AD et les types d’attaques Active Directory dans la huitième partie, découvrons certaines des violations de sécurité AD récentes les plus importantes au monde. Les failles de sécurité affectent en fin de compte un ou plusieurs éléments de la triade de la sécurité des données – confidentialité, intégrité et disponibilité des données. Pour réaliser une brèche, les cyberattaquants s’efforcent d’accéder aux utilisateurs, aux applications et aux données, qui sont tous contrôlés par les services d’annuaire de l’organisation. C’est pourquoi AD est une cible de choix pour la compromission.

Ces trois exemples récents d’attaques Active Directory dans le monde réel exposent les vulnérabilités auxquelles de nombreuses organisations sont confrontées dans le monde entier :

  • Une cyberattaque de la chaîne d’approvisionnement dans une grande entreprise de technologie de l’information.
  • Une violation des données d’un tiers ayant un impact sur une entreprise automobile réputée.
  • Une violation de la sécurité dans un groupe hôtelier renommé.

Allons droit au but.

Une cyberattaque de la chaîne d’approvisionnement dans une grande entreprise de technologie de l’information

  • De plus en plus, les activités malveillantes dans la chaîne d’approvisionnement informatique d’une entreprise entraînent des répercussions inimaginables pour l’entreprise mère ainsi que pour ses clients. Voici ce qui s’est passé lorsqu’une entreprise informatique de renommée a été exploitée.
  • Les cyberattaquants ont d’abord obtenu un accès non autorisé à des comptes d’utilisateurs sur le réseau de l’entreprise en utilisant un compte d’utilisateur vulnérable et potentiellement désactivé. Certains rapports suggèrent qu’un compte Microsoft Office 365 déjà compromis a été réutilisé pour accéder au réseau de l’entreprise.
  • Après avoir obtenu cet accès initial, les attaquants n’ont pas été détectés dans l’environnement AD, mais sont restés vigilants quant à l’ensemble des activités réseau en cours.
  • Pendant cette période de ” discrétion “, les attaquants ont obtenu des privilèges d’accès élevés aux ressources du réseau, notamment aux serveurs et aux logiciels. Ils ont testé leur plan d’attaque en injectant un code malveillant qui accède à diverses applications et les modifie. Ce code malveillant visait le logiciel phare de l’entreprise et a entraîné la livraison de mises à jour altérées.
  • À ce stade, les attaquants ont également établi des portes dérobées à l’aide de programmes malveillants afin de contourner les protocoles d’authentification standard et les autres mesures de sécurité en place.
  • Une fois cette première opération terminée, les attaquants se sont rétractés. Ils ont à nouveau trouvé le moyen de pénétrer dans le réseau de l’entreprise des mois plus tard. Cette stratégie a donné aux attaquants suffisamment de temps pour évaluer l’étendue de la propagation du malcode injecté.
  • L’intégration AD-DNS a été exploitée. Les attaquants ont surveillé et manipulé la topologie du DNS pour déterminer les serveurs de noms de domaine de premier niveau à exploiter, notamment les cibles point gov et point com.
  • La cyberactivité a repris à travers la porte dérobée qui a été créée. Cette porte dérobée a permis aux attaquants de rester dans le réseau compromis afin de pouvoir y pénétrer à nouveau en cas de besoin, de se déplacer latéralement et de continuer à élever leurs privilèges pour causer d’autres dommages.
  • Le plan principal consistait maintenant à faire en sorte que le code malveillant, qui faisait désormais partie des mises à jour du système et d’autres logiciels associés, se propage de l’entreprise informatique à ses clients. Certaines agences gouvernementales clés et des organisations privées de renommée ont été ciblées de cette manière.
  • Le code malveillant a eu pour effet d’affecter le schéma AD. Il y a même eu un scénario dans lequel les données AD les plus fondamentales, c’est-à-dire les propriétés des comptes d’utilisateurs, comme le numéro de téléphone associé aux comptes d’utilisateurs, ont été altérées.
  • La mise à jour compromise et défectueuse a permis aux attaquants de contrôler les comptes concernés, de modifier les politiques et les préférences, et d’étendre leur botnet.
  • Les attaquants pouvaient désormais espionner les réseaux de plusieurs organisations à la fois et maintenir une communication constante avec les serveurs de commande et de contrôle nouvellement établis.
  • Cette cyberattaque a démontré certaines des conséquences les plus néfastes d’une attaque de la chaîne d’approvisionnement.
  • Après que l’entreprise informatique a ignoré de multiples signes d’alerte, l’activité malveillante a finalement été signalée par l’un de ses clients.
  • S’en est suivie une période de reconnaissance intensive, de remédiation et de répercussions tangibles et intangibles pour l’entreprise informatique.

Une entreprise automobile internationale a été victime d’une violation de données par un tiers

La manière dont les stratégies de cybersécurité d’une entreprise sont adoptées et leur efficacité sont influencées par la proactivité ou la réactivité d’un fournisseur tiers dans la protection de ses vecteurs d’attaque.

Il est essentiel d’exiger que les tiers procèdent à une solide évaluation des risques. Les brèches de sécurité resteront nombreuses tant que les organisations ne veilleront pas à ce que les évaluations de sécurité des fournisseurs soient obligatoires.

Une étude de cas récente est détaillée ici. L’une des filiales d’une entreprise automobile internationale a été victime d’une violation de données à cause de son fournisseur tiers.

Voici ce qui s’est passé :

  • Un fournisseur tiers disposant d’un accès privilégié au service d’annuaire d’une société automobile accédait régulièrement à l’environnement AD du client pour des opérations commerciales spécifiques.
  • Il n’a pas été déterminé si l’accès accordé par la société automobile au fournisseur était basé sur des rôles.
  • Une approche de confiance zéro aurait dû être suivie pour établir un environnement de moindre privilège. Les risques d’utilisation abusive de données hautement sensibles étaient implicitement élevés, ce qui rendait l’ensemble de l’écosystème AD vulnérable aux failles de sécurité.
  • Le fournisseur, avec ou sans intentions malveillantes, a laissé certaines des données hautement sensibles non sécurisées sur Internet pendant une période prolongée.
  • Cette violation de données a exposé des informations confidentielles, ouvrant la voie à d’éventuels cas d’usurpation d’identité et à d’autres conséquences graves résultant de la compromission d’informations personnelles.
  • Le fournisseur, par sa négligence, a causé de nombreuses infractions liées à la conformité qui ont eu un impact négatif sur son client.
  • La société automobile a subi des pertes financières et de réputation pour atténuer les dommages causés à ses clients en raison de la violation des données.

Violation de la sécurité dans un groupe hôtelier renommé

Les entreprises, en particulier dans le secteur de l’hôtellerie, ont besoin d’une mise à jour régulière de leurs bases de données pour assurer leur bon fonctionnement au quotidien.

Les décisions stratégiques, telles que les fusions et les acquisitions, transforment souvent complètement la topologie des AD et nécessitent une solution robuste de surveillance de la sécurité pour garantir que les données ne sont pas compromises.

Les conséquences d’un événement indésirable en matière de cybersécurité qui pourrait survenir à la suite d’une fusion, le cas échéant, peuvent être catastrophiques.

C’est ce qui s’est passé pour un groupe hôtelier renommé “X” ; un événement qui a eu de graves conséquences après sa fusion très médiatisée avec un autre leader du marché, “Y”, à l’époque.

Voici comment s’est déroulée l’attaque de sécurité :

  • L’attaque a été initiée comme une attaque AD typique : Un utilisateur vulnérable, bien que disposant apparemment de faibles privilèges, a d’abord été compromis pour obtenir un accès initial au réseau du groupe hôtelier Y.
  • Les rapports indiquent que cette compromission initiale a été réalisée bien plus tôt, des années avant qu’une fusion avec le groupe hôtelier X ne soit envisagée.
  • Les attaquants, nous le savons maintenant, ont inséré un code malveillant, un cheval de Troie d’accès à distance, soit par le biais d’un courriel de phishing, soit en utilisant l’outil de script open source Mimikatz.
  • Les pirates ont ensuite compromis les combinaisons de noms d’utilisateur et de mots de passe pour se déplacer latéralement dans les domaines compromis.
  • Ils ont ensuite pris le contrôle d’autres comptes d’utilisateur avec des privilèges d’administrateur et ont eu accès à des bases de données hautement confidentielles et sensibles.
  • À ce stade, la fusion a finalement pris forme. Ce que nous savons maintenant, c’est que malgré la fusion, l’infrastructure informatique de la société Y a continué à être utilisée.
  • Après des années d’inaperception, l’équipe de sécurité du groupe hôtelier X a découvert une activité anormale des attaquants. Une requête habituelle de la base de données pour accéder à la base de données de l’entreprise Y a été détectée, déclenchant une notification de drapeau rouge à l’équipe de sécurité et l’alertant d’une activité réseau potentiellement suspecte.
  • Le groupe hôtelier X a alors pris des mesures correctives.
  • Il a été révélé que les attaquants avaient maîtrisé la base de données et volé les informations personnelles de plus de millions de clients grâce à une période prolongée de surveillance non autorisée de l’activité du réseau avant et après la fusion.
  • Ce vol massif de données a ouvert la voie à de nombreuses conséquences potentiellement désastreuses pour les clients des groupes hôteliers X et Y.
  • L’absence de tout système de surveillance de la sécurité, d’abord au sein du groupe hôtelier Y, ce qui a permis aux attaquants de ne pas être détectés pendant tout ce temps, puis au sein du groupe hôtelier X après la fusion, lorsque cette arnaque a été révélée, est devenue un point noir très discuté dans l’histoire de la réputation de cette marque.

Il s’agit de trois attaques Active Directory que je voulais porter à votre attention pour vous faire comprendre à quel point une compromission de votre infrastructure AD peut être fondamentale mais aussi catastrophique. Les trois attaques, la méthodologie de chacune d’entre elles et leur impact reflètent certaines des plus grandes leçons en matière de cybersécurité aujourd’hui.

La plupart des cyberattaques ciblent l’environnement AD. Ce n’est que par la connaissance et l’application que vous pouvez intégrer et maintenir les principes de sécurité et de cybersécurité pour mieux protéger votre AD.

La sécurité des AD exige que vous en fassiez une priorité.

Source : A practical approach to Active Directory Domain Services, Part 9: An AD reality check

Tags : AD / AD DS / attaques AD / configurations AD / environnement du moindre privilège / sécurité AD / topologie de conception AD / violation de données / vulnérabilités AD
Oussama Nait-Zlay
Responsable Marketing