Cinq façons dont un compte d'utilisateur non privilégié peut posséder votre réseau
Un pirate peut augmenter les privilèges dans un domaine de plusieurs façons, et apprendre comment ils fonctionnent est la moitié de la bataille pour réduire votre surface d'attaque. Dans cet article, nous allons aborder cinq façons qu'un utilisateur non privilégié (désormais appelé uniquement "utilisateur") peut utiliser pour posséder votre réseau et comment vous pouvez vous protéger.
Nous supposons également que l'attaquant a accès à un ordinateur appartenant à un domaine ou a accès au réseau.
Sommaire
1. Escalade vers le compte SYSTEM
L'augmentation des privilèges du compte système local sur l'ordinateur est, dans de nombreux cas, la première chose qu'un attaquant doit faire. L'attaquant peut utiliser un large éventail de techniques pour effectuer l'escalade, et certaines d'entre elles sont résumées ici.
Bien sûr, vous avez fait la moitié du travail de l'attaquant si l'utilisateur a déjà un administrateur local sur l'ordinateur. J'ai résumé quelques-unes des méthodes ci-dessous afin que vous puissiez avoir une idée de la façon dont les attaquants évoluent vers SYSTEM.
Conseils d'atténuation:
- Établissez une première ligne de défense solide avec AppLocker.
- Implémentez des solutions comme ATP.
- Éduquez les utilisateurs avec la mentalité «pensez d'abord, cliquez plus tard» (même si certains le font parfois parfois dans l'autre sens)
- Implémentation de Credential Guard.
Mauvaises autorisations sur les exécutables / scripts exécutés par un compte privilégié
Il s'agit de l'une des méthodes les plus courantes qu'un attaquant peut utiliser pour passer à SYSTEM. L'attaquant recherche les tâches ou services planifiés qui sont lancés par un compte privilégié sur cet ordinateur (c'est-à-dire SYSTEM ou même un utilisateur de domaine). L'attaquant analyse ensuite les EXE / scripts et les DLL qui lui sont associés pour voir si son utilisateur propriétaire doit écrire des autorisations.
L'attaquant échange ou modifie ensuite les fichiers EXE / Scripts ou DLL en quelque chose qui leur donne une porte dérobée vers le compte SYSTEM en utilisant des outils comme PowerUp.
Conseil d'atténuation:
Analysez et surveillez les autorisations de fichiers sur les exécutables, les scripts et les DLL que vos services et tâches planifiées utilisent.
Correctifs de sécurité manquants
Depuis 2015, plus de 100 CVE publiées pour Windows 10 ont permis à un attaquant d'augmenter ses privilèges sur un ordinateur. N'oubliez pas de mettre également à jour les pilotes! Vous savez déjà, bien sûr, que le patch de vos systèmes est important, mais c'est toujours bien avec un rappel.
2. Passez le hachage
Pass-The-Hash (PTH) est une technique courante que les attaquants utilisent une fois qu'ils ont les privilèges d'administrateur local ou SYSTEM. Le PTH a déjà été découvert en 1997, mais il s'agit d'une faille «de par sa conception» dans le mécanisme d'authentification Windows NTLM.
PTH ne vous donne pas le mot de passe en texte clair, ce qu'il fait, c'est qu'il réutilise le hachage NTLM d'un utilisateur du mot de passe pour s'authentifier auprès d'autres systèmes.
L'attaquant peut utiliser des outils comme Mimikatz pour extraire le hachage NTLM de la mémoire, ce qui nécessite généralement qu'un utilisateur plus privilégié que l'utilisateur propriétaire se connecte aux systèmes pour être efficace. Mais comment les attaquants savent-ils qu'un administrateur se connectera à cet ordinateur? Eh bien, c'est simple: ils causent des problèmes avec la machine et attendent que le support se connecte.
Une autre chose importante à souligner est que Pass-The-Hash fonctionne sur le compte administrateur local! Cela signifie que le hachage du compte d'administrateur d'ordinateur (SID 500) peut être utilisé pour posséder tous les autres ordinateurs du domaine.
Conseils d'atténuation:
3. L'utilisateur non privilégié n'est pas réellement défavorisé
Il s'agit également d'un scénario courant: l'utilisateur propriétaire est privilégié, mais vous ne le savez pas (encore). L'attaquant peut analyser le réseau et Active Directory avec un outil appelé BloodHound pour trouver des chemins d'attaque extrêmement difficiles à découvrir dans des cas normaux.
BloodHound utilise une base de données de graphes appelée Neo4j pour découvrir les relations cachées entre les utilisateurs et les ordinateurs en utilisant la théorie des graphes. Et, la plupart de la collecte de données qu'il fait peut être effectuée par un utilisateur normal. Il peut même découvrir des sessions d'administration locale et actives sur des ordinateurs distants.
Il n’est pas rare qu’un utilisateur non privilégié doive Écrire ou Changer le mot de passe autorisations dans Active Directory sur un utilisateur avec plus de privilèges, généralement par accident ou en raison d'une pure paresse.
Conseil d'atténuation: Analysez régulièrement vos environnements avec BloodHound pour découvrir des relations involontaires.
4. Attaquer l'administrateur
Les administrateurs sont plus exposés que les autres utilisateurs, et il n'est pas rare qu'ils soient ciblés lors d'une attaque. L'attaquant n'a généralement aucun problème à trouver des mots de passe et à remonter une fois dans le compte non privilégié d'un administrateur.
Conseils d'atténuation:
- Soyez conscient des tentatives de hameçonnage.
- Implémentez un modèle de hiérarchisation Microsoft.
- Implémentez la connexion MFA ou Smartcard pour tous les comptes d'administrateur.
5. Recherche de vulnérabilités
Un attaquant commencera à rechercher les logiciels vulnérables sur votre réseau s’ils ne peuvent pas augmenter les privilèges par les méthodes précédentes. Cela se fait généralement avec des outils comme Striker ou Metasploit, et est un moyen efficace d'escalader dans des environnements où les systèmes de correctifs sont de seconde main ou les systèmes ne sont pas pris en charge.
Conseils d'atténuation:
- Ayez une routine de correction pour tous vos systèmes et pas seulement pour le système d'exploitation.
- Mettre hors service ou segmenter les systèmes obsolètes.
Afterwords
La sécurité peut être difficile, mais elle devient beaucoup plus facile si vous en êtes plus conscient et comment cela fonctionne. Vous devez également considérer les attaques comme une chaîne d'exploits et que tout dans votre réseau est connecté.
Avec quelques techniques d'atténuation, vous pouvez devenir assez résistant aux attaquants, mais ce n'est jamais garanti. La plupart des attaquants dirigent une entreprise et s'ils trouvent trop difficile ou trop long de vous cibler, ils choisiront une cible plus simple.
L'objectif devrait être de réduire le ROI (Return of Investment) des attaquants aussi bas que possible, et il devrait être aussi difficile que possible de les élever à travers votre réseau.