Par Pierre-Louis Lussan, Country Manager France et Directeur Souh-West Europe chez Netwrix
D’après Gartner, d’ici à 2024, 50% des organisations qui auront implémenté un modèle d’accès à privilèges éliminant les privilèges non définis éviteront 80 % des failles de sécurité par rapport à celles qui ne sont pas équipées en outil de gestion des accès à privilèges. Ces derniers sont en effet de plus en plus ciblés par les cybercriminels, qui se contentent rarement de leur ancrage initial une fois dans le réseau. Pour atteindre son objectif, qu’il s’agisse de voler des informations sensibles ou d’implanter des malwares, un acteur malveillant doit exploiter le compte qu’il a compromis afin de se déplacer latéralement dans l’environnement et d’escalader les privilèges jusqu’à ce qu’il parvienne à accéder à davantage de données ou de ressources.
Il est essentiel que les organisations aient connaissance des techniques utilisées par les cybercriminels pour être en mesure de se défendre :
- On parle de déplacement latéral lorsqu’un attaquant utilise ses droits d’accès actuels pour explorer un environnement.
- L’escalade des privilèges consiste à obtenir des autorisations d’accès plus étendues.
Les attaquants combinent ces deux tactiques pour atteindre leur objectif ultime, à savoir voler des données ou causer d’autres dommages à l’organisation ciblée. En général, lorsqu’un cybercriminel s’introduit dans un environnement, il entame un travail de reconnaissance afin de déterminer les ressources auxquelles il a accès et les comptes qu’il pourrait compromettre par la suite. À mesure qu’il découvre des moyens d’escalader ses privilèges, il accède à des données et des ressources encore plus nombreuses.
La reconnaissance des attributs Active Directory (LDAP) fait partie des techniques les plus fréquemment utilisées par les attaquants pour se déplacer latéralement et escalader leurs privilèges. La recherche de cibles potentielles est une tâche très importante. Une fois qu’il a obtenu l’accès à un environnement, le cybercriminel doit déterminer ce qui s’y trouve et ce qui pourrait l’intéresser. La reconnaissance LDAP est un procédé par lequel il peut utiliser l’Active Directory pour identifier les utilisateurs, les groupes et les ordinateurs à cibler. Après avoir analysé l’environnement et effectué une reconnaissance plus approfondie, l’attaquant peut élaborer un plan destiné à atteindre ses objectifs.
Par ailleurs, une fois qu’un acteur malveillant a obtenu l’accès à un environnement et qu’il est capable de se déplacer latéralement entre les systèmes, il voudra compromettre d’autres comptes pour étendre ses droits. La méthode “pass-the-hash” est l’une des façons dont il peut compromettre d’autres comptes dans l’environnement. Cette technique exige un certain niveau de privilèges sur la machine à laquelle il a accès, mais elle peut permettre la compromission d’un compte qui dispose d’une session sur la machine ciblée. À partir du nouveau compte compromis, l’attaquant peut continuer à identifier d’autres machines auxquelles il a accès et d’autres sessions susceptibles de lui ouvrir l’accès à d’autres comptes.
Une autre technique utilisée pour escalader les privilèges est le “kerberoasting”. Cette attaque exploite le protocole d’authentification Kerberos pour voler les informations d’identification des utilisateurs d’Active Directory qui possèdent des Service Principle Names (SPN). Le plus souvent, ces comptes sont des comptes de service, qui disposent donc de niveaux de privilèges plus élevés que les comptes d’utilisateurs ordinaires.
Le plus souvent, les attaquants accèdent à l’environnement IT en recourant à une forme d’ingénierie sociale. Afin de réduire les risques, il est important de former régulièrement les employés sur la manière de détecter et de signaler ces attaques, mais également sur la gestion des mots de passe et des informations d’identification. De plus, il est primordial de mettre en œuvre une stratégie efficace de gestion des accès à privilèges pour empêcher que ces comptes de premier plan ne soient compromis et pour contrôler l’utilisation qui en est faite. Enfin, l’application des mises à jour et des correctifs dès leur disponibilité est essentielle afin d’empêcher un attaquant d’exploiter une vulnérabilité connue qui lui permettrait de s’introduire dans l’environnement, de se déplacer latéralement ou d’escalader ses privilèges.