Les attaques « Golden Ticket » sont une menace réelle et particulièrement dangereuse pour les organisations privées et publiques. Après un premier papier sur l’origine et la dangerosité de ces attaques, il est temps de s’intéresser aux moyens de s’en protéger.

Les attaques « Golden Ticket », dont le nom est inspiré du roman Charlie et la Chocolaterie de Roald Dahl, exploitent une vulnérabilité dans Kerberos — le protocole d’authentification que Microsoft utilise par défaut depuis Windows 2000. Ce talon d’Achille de Microsoft permet aux hackers d’accéder à l’Active Directory.

Il n’existe aucun moyen d’empêcher complètement les attaques par Golden Ticket, mais il existe de nombreuses bonnes pratiques qui peuvent réduire considérablement les risques. Voici les 5 meilleurs méthodes pour se protéger de ces attaques.

1- Changer régulièrement le mot de passe issu du KRBTGT

Lorsqu’un utilisateur s’authentifie, le Kerberos Key Distribution Center (KDC) émet un ticket appelé « Ticket Granting Ticket » (TGT), qui comprend une clé de session unique et un horodatage qui spécifie la durée de validité de cette session (Microsoft recommande 10 heures). Avant d’envoyer un ticket TGT, le KDC le chiffre en utilisant le hachage du mot de passe d’un compte spécial : le KRBTGT. Ce hachage de mot de passe est partagé entre tous les DC du domaine Active Directory.

La première méthode de défense est donc de changer régulièrement le mot de passe KRBTGT. Bien que cela n’empêche pas la création de nouveaux Golden Tickets, cela va invalider ceux qui se trouvent déjà dans vos systèmes. Microsoft recommande de changer régulièrement le mot de passe du compte KRBTGT.

Il est également fortement recommandé de changer ce mot de passe chaque fois qu’un collaborateur ayant eu la possibilité de créer un Golden Ticket quitte l’organisation. Même si son compte à privilège est supprimé rapidement, il peut avoir laissé des TGT dangereux. La réinitialisation du mot de passe KRBTGT rendra tous ces tickets invalides. Evidemment, cette réinitialisation s’impose dès que la moindre preuve d’une attaque Golden Ticket effective est détectée.

En outre, la valeur d’historique de mot de passe du compte KRBTG est de 2. Cela signifie qu’elle comprend les deux mots de passe les plus récents. Afin d’invalider tous les TGTs dans le système, il faut donc réinitialiser deux fois le mot de passe KRBTGT. Il est conseillé d’attendre que la réplication soit complète entre les deux réinitialisations. Microsoft détaille les étapes de réinitialisation manuelle.. Cependant, il est souvent préférable d’utiliser le script de réinitialisation automatique également fourni par Microsoft. Le changement du mot de passe KRBTGT invalidera automatiquement l’ensemble des TGTs émis. Mais toutes les sessions authentifiées préalablement établies vers une ressource (telle qu’un partage de fichiers, un site SharePoint ou un serveur Exchange) restent valides jusqu’à ce qu’un ticket soir requis pour les authentifier à nouveau. Microsoft conseille de redémarrer le poste client afin que le compte machine et le compte utilisateur soient forcés de se reconnecter. Leurs TGT seront donc bien chiffrés avec le hash du nouveau mot de passe KRBTGT.

2- Réduire au minimum le nombre de comptes ayant accès au hachage du mot de passe KRBTGT

Le Principe du Moindre Privilège est essentiel pour la sécurité.

Pour sécuriser au maximum l’AD, il faut identifier précisément les comptes qui peuvent exécuter la commande DCSync. Par défaut, il s’agit des membres des groupe « builtin\Administrators » et « builtin\domain controllers ». De plus, le compte utilisé pour Azure AD Connect peut également exécuter la commande DCSync. Assurez-vous de diminuer au maximum le nombre de comptes « Domain Admins », ainsi que les membres d’autres groupes octroyant des droits de connexion sur les DCs (tels que « Print Operators » et « Server Operators »). Si l’accès est donné à d’autres comptes, il est important d’investiguer immédiatement et de supprimer toutes les autorisations inutiles.

3- Limiter les possibilités de vols d’identifiants à privilèges

Les utilisateurs finaux ne doivent pas être administrateurs locaux de leurs postes de travail. Les comptes à privilèges ne doivent pas ouvrir de sessions sur les postes des utilisateurs finaux. Ainsi, un hacker ayant obtenu l’accès à un poste ne pourra pas en extraire des identifiants à fort privilèges.

Microsoft a activé une nouvelle stratégie Defender « Attack Surface Reduction » permettant de bloquer plus facilement les extractions d’identifiants via le processus lsass. Vérifiez que cette stratégie est appliquée à tous les postes et serveurs quitte à paramétrer des exceptions pour les applications nécessitant une interaction forte avec lsass.exe.

Il est également recommandé de changer régulièrement les mots de passe des comptes de service ou et d’utiliser les GMSA (Group Managed Service Accounts) autant que possible. Une autre astuce consiste à mettre en place une alerte qui informera l’équipe de sécurité dès SPN (Service Principal Name) est créé ou modifié afin qu’elle puisse vérifier si les procédures ont bien été respectées.

4- Surveiller l’environnement IT pour détecter toute activité suspecte

Les organisations doivent partir du principe que leur environnement IT subira une intrusion tôt ou tard. Il est donc essentiel de surveiller toute activité inhabituelle qui pourrait être le signe d’une attaque Golden Ticket en cours. Les éléments à surveiller — ou sur lesquels il faut être alerté — comprennent :

> TGTs à longues durées de vie — Un ticket Kerberos dont la durée de vie excède celle définie dans la stratégie du domaine peut être le signe d’une attaque Golden Ticket. Il faut l’examiner immédiatement et, si nécessaire, réinitialiser le mot de passe KRBTGT. Il faudra ensuite chercher les indices de la méthode utilisée pour l’intrusion initiale.

> Réplication de domaine suspecte —Une réplication de domaine litigieuse peut indiquer une attaque DCSync ou autre visant à capturer les hachages de mots de passe. Repérer, confirmer et répondre rapidement à cette situation permettra d’empêcher les attaquants d’aboutir à une attaque Golden Ticket réussie.

> Activité sur les contrôleurs de domaine — Surveiller les applications et les scripts (particulièrement les scripts PowerShell) exécutés sur les contrôleurs de domaine. Un accès direct à un contrôleur de domaine donnera un accès complet à l’Active Directory très rapidement.

> Modifications des privilèges — Notamment, si le « debug privilege » (SeDebugPrivilege) est soudainement activé, il faut en vérifier immédiatement la raison.

Malheureusement, les journaux d’événements Windows n’incluent pas les horodatages TGT (permettant de connaître la durée de vie du TGT). De plus, repérer une activité suspecte dans l’océan d’événements peut être un vrai défi. Il est recommandé d’investir dans une solution tierce de surveillance d’Active Directory qui peut ces activités en temps réel.

5- Posez des appâts

Une autre stratégie pour désamorcer les attaques Golden Ticket consiste à créer des pièges « pot de miel ». Par exemple, un compte utilisateur avec un nom plein de promesses faisant parti de groupes qui semblent donner accès à de nombreux privilèges attirera l’attention d’un attaquant. En assignant un mot de passe le plus long possible à ce compte et en surveillant attentivement toute tentative d’authentification, il sera possible de repérer une tentative d’élévation de privilège de la part d’un intrus.

Derrière leur nom amusant, les attaques Golden Ticket constituent l’une des menaces les plus virulentes pour tout environnement Active Directory. Chaque organisation doit renforcer sa posture de sécurité en appliquant de méthodes de protection éprouvées comme le moindre privilège et plus généralement le Zero Trust. Cependant, il ne s’agit pas d’une protection ultime. La surveillance active de l’écosystème informatique et l’évolution de cette surveillance en fonction de l’évolution des vulnérabilités exploitées est indispensable. Tout comme l’est également la préparation d’un plan de restauration rapide en cas de désastre.
___________________

Par Regis Alix, Senior Principal Solutions Architect, Quest Software

Du même auteur et sur le même sujet : Attaques Golden Ticket : comment les expliquer ?

 

À lire également :

Attaques Golden Ticket : comment les expliquer ?

Entreprises : pourquoi ne pas confier votre cybersécurité à des prestataires spécialisés?

Les défis de cybersécurité inhérents au travail hybride et à distance.

Cybersécurité : la confiance est morte, vive la « confiance zéro » !

Quel avenir pour la cybersécurité en 2022 ?