De nombreux hackers ciblent désormais en priorité Active Directory (AD), une étape centrale dans le cheminement de leur cyberattaque. En effet, au cours des derniers mois, un certain nombre d’opérateurs de ransomware ont concentré leurs efforts sur Active Directory. LockBit en juillet 2021, Conti en septembre 2021 et BlackMatter en octobre 2021 en sont des preuves concrètes. Aujourd’hui, les hackers comprennent de plus en plus à quel point il est facile d’obtenir un accès illimité au réseau d’une victime, avec des privilèges de domaine via AD. Malheureusement, trop peu d’organisations évalue correctement AD pour les questions de sécurité et de gouvernance. Comment sécuriser Active Directory dans ce contexte ? C’est la question à laquelle nous allons tenter de répondre dans la suite.
Conti, BlackMatter et LockBit : zoom sur les attaques Active Directory
Si les équipes de cybersécurité négligent souvent ce vecteur d’attaque critique, ce n’est pas le cas de la Cybersecurity and Infrastructure Security Agency (CISA), du Federal Bureau of Investigation (FBI) et de la National Security Agency (NSA). Ces trois agences américaines ont publié plusieurs alertes conjointes concernant les attaques par ransomware en raison de l’augmentation de l’activité et de la sophistication de la menace. Concrètement, chaque alerte identifie spécifiquement les AD qui jouent un rôle clé dans la propagation des attaques. Les cas Conti, BlackMatter et LockBit en attestent…
Conti
Le ransomware Conti a fait les gros titres au début de l’année après avoir attaqué des centaines d’organisations, dont de nombreuses institutions de santé, et perturbé des opérations critiques. Récemment, les attaquants de Conti se concentrent davantage sur les vulnérabilités non corrigées pour obtenir des privilèges dans AD. A ce propos, l’alerte conjointe de la CISA, du FBI et de la NSA détaille : « Les acteurs de Conti exploitent également des vulnérabilités dans des actifs non patchés, afin d’élever leurs privilèges et se déplacer latéralement sur le réseau de la victime ». Quels sont ces actifs non patchés ? La même alerte en donne un aperçu exhaustif :
- Les vulnérabilités 2017 du serveur Microsoft Windows Message Block 1.0 ;
- La vulnérabilité « PrintNightmare » (CVE-2021-34527) dans le service de spouleur d’impression de Windows ; et
- La vulnérabilité « Zerologon » (CVE-2020-1472) dans les systèmes de contrôleur de domaine Microsoft AD.
BlackMatter
BlackMatter est un nouvel opérateur de ransomware qui s’inspire de diverses tactiques de DarkSide, REvil et LockBit. Le CISA, le FBI et la NSA ont également émis une alerte conjointe indiquant que BlackMatter a ciblé plusieurs entités d’infrastructures critiques américaines, dont deux organisations américaines du secteur de l’alimentation et de l’agriculture. Dans ce cas, BlackMatter exploite AD pour découvrir et énumérer les hôtes et les dossiers partagés. « A l’aide d’informations d’identification intégrées et précédemment compromoses, BlackMatter utilise le protocole LDAP (Lightweight Directory Access Protocol) et le protocole SMB (Server Message Block) pour accéder à Active Directory et découvrir tous les hôtes du réseau. BlackMatter crypte ensuite les hôtes et les lecteurs partagés à distance, au fur et à mesure qu’ils les identifient », explique l’alerte.
LockBit 2.0
Bien qu’il ne soit pas mentionné dans les récents avis du CISA, LockBit 2.0 a été prolifique avec une activité remontant à juillet 2021. Le blog IBM operated Security Intelligence a analysé les nouvelles tactiques utilisées par les opérateurs de LockBit, notamment la façon dont les acteurs de la menace exploitent AD pour déployer la charge utile du ransomware à l’aide de Group Policy : « L’un des changements les plus importants identifiés au cours de l’analyse est la mise en œuvre d’une nouvelle technique de déploiement. La charge utile a la capacité de se déployer automatiquement sur les clients Microsoft Active Directory via des « Group Policy Objects » (GPO). Lorsqu’il est exécuté sur un contrôleur de domaine Active Directory, LockBit 2.0 crée plusieurs GPO pour mener à bien le processus d’infection. La configuration de Windows Defender est modifiée pour éviter la détection. Il rafraîchit les partages réseau, arrête certains services et tue les processus. L’exécutable LockBit est ensuite copié dans les répertoires du bureau du client et exécuté ».
Comment sécuriser Active Directory ?
Pour sécuriser Active Directory, il est essentiel de mettre en place des bonnes pratiques afin de perturber le parcours d’attaque des ransomwares en intervenant à plusieurs endroits de leur parcours.
Considérations sur le point d’entrée initial
Un cyberattaquant doit d’abord pénétrer dans une organisation, avant de pouvoir envisager de se déplacer latéralement vers sa cible. Le point d’entrée ne doit pas nécessairement être le résultat d’une attaque par phishing. Au contraire, un nombre croissant d’attaques de premier plan exploitent des problèmes connus dans les appareils, les systèmes d’exploitation et les logiciels qui ne nécessitent aucune interaction avec l’utilisateur. Il existe deux tactiques principales qu’un attaquant peut utiliser pour pénétrer dans des appareils, des systèmes d’exploitation et des logiciels : exploiter une vulnérabilité ou une mauvaise configuration.
Sachant que même une petite organisation présente de nombreuses vulnérabilités et configurations erronées qui doivent être sécurisées, les défenseurs doivent faire des efforts réfléchis pour voir toutes les expositions potentielles de leur surface d’attaque et traiter immédiatement les problèmes de sécurité les plus importants. C’est là que la hiérarchisation des priorités est essentielle, car il est impossible de sécuriser toutes les vulnérabilités et les configurations erronées et, partant de là, de sécuriser Active Directory.
Exploitation du point d’entrée
Une fois que le cyberattaquant a infiltré le point d’entrée, il va s’atteler à obtenir des informations d’identification, se déplacer latéralement et recueillir des informations sur le réseau. La principale tactique à ce niveau consiste à obtenir des privilèges d’administration locale sur l’appareil compromis. Les privilèges locaux permettent au cyberattaquant d’installer des logiciels malveillants et d’exploiter les informations d’identification mises en cache localement.
Un logiciel malveillant installé sur un appareil est généralement utilisé pour énumérer le réseau et l’AD. Ce niveau d’énumération ne nécessite qu’un accès en lecture au réseau et à AD, c’est pourquoi il est essentiel de s’assurer que les périphériques et les logiciels du réseau, ainsi qu’AD, sont sécurisés avant l’énumération. L’obtention d’informations d’identification mises en cache pourrait donner au cyberattaquant des privilèges de domaine immédiats, selon qu’un utilisateur privilégié du domaine s’est connecté au périphérique. Si c’est le cas, il suffit à l’attaquant de se faire passer pour ce compte pour créer des portes dérobées, copier les données souhaitées et déployer un ransomware sur l’ensemble du réseau.
C’est pourquoi il est très important de veiller à ce qu’un modèle à plusieurs niveaux soit mis en place pour empêcher les administrateurs de se connecter aux postes de travail, ce qui mettrait en cache leurs informations d’identification et les rendrait facilement accessibles aux attaquants. Si l’attaquant n’obtient pas d’informations d’identification assorties de privilèges, il s’en servira pour tenter de se déplacer latéralement vers d’autres appareils, en utilisant les mêmes tactiques d’exploitation sur chaque appareil qu’il compromet. Pour empêcher les attaquants de se déplacer latéralement, des technologies telles que LAPS de Microsoft et une solide politique de mots de passe doivent être mises en œuvre pour réellement sécuriser Active Directory.