Active Directory (AD) est devenu une cible principale pour les attaquants menant des attaques centrées sur l’identité. Heureusement, plusieurs outils sont disponibles pour aider les équipes de sécurité des entreprises à obtenir une meilleure visibilité sur leurs instances Active Directory et à corriger les vulnérabilités identifiées.
Un outil populaire utilisé par les analystes est le graphe d’Attack Path, qui peut être utilisé pour montrer les chemins possibles qu’un attaquant peut emprunter pour passer d’un utilisateur standard à un compte hautement privilégié, tel qu’un précieux Domain Admin.
Bien que ce type de visualisation puisse être utile, il ne remplace pas un outil d’évaluation Active Directory qui non seulement corrige les vulnérabilités mais encourage également les bonnes pratiques. Pour illustrer la différence, dans cet article nous comparerons les deux approches à travers deux scénarios représentatifs de situations courantes en entreprise.
Étude de cas : Escalade de privilèges basique
Dans le premier scénario, nous examinerons un Attack Path simple et le comparerons aux résultats d’une évaluation de sécurité AD pour le même problème.
Dans notre premier exemple, un utilisateur standard compromis « Bob » est membre d’un groupe Engineering plus large, qui est lui-même un sous-ensemble d’un groupe CAD Tools. En raison d’une mauvaise configuration et d’une séparation insuffisante des privilèges, ce groupe est également membre d’un groupe Service Installers, qui lui-même est membre du groupe Domain Admins.
Il est évident que, même si Bob est censé n’avoir que des privilèges d’utilisateur standard, cet ensemble imbriqué de relations permet à un attaquant qui compromet le compte de Bob d’obtenir les droits Domain Admin.
À ce stade, examinons le contexte qu’un outil d’évaluation de sécurité AD peut fournir dans une telle situation, et comment les administrateurs peuvent utiliser ces informations pour atténuer ce problème et éviter qu’il ne se reproduise.
Un outil d’évaluation de sécurité AD fournira :
- Une liste de tous les utilisateurs ayant un accès privilégié. Cela comprendrait tous les membres des groupes imbriqués de tous les groupes privilégiés.
- Une liste des groupes imbriqués dans le groupe privilégié à supprimer. Il s’agit du raccourci dont l’administrateur a besoin pour corriger le problème.
- La bonne pratique de ne pas imbriquer de groupes dans les groupes privilégiés. Cela élimine les points de congestion afin qu’il soit plus difficile pour les membres d’obtenir un accès privilégié non intentionnel. Il s’agit de la recommandation dont l’administrateur a besoin pour éviter le problème.
Les deuxième et troisième éléments sont les plus critiques. Si nous supprimons simplement le groupe Service Installers du groupe Domain Admins (ainsi que tout autre groupe éventuellement imbriqué), le compte utilisateur standard compromis ne serait plus Domain Admin. En corrigeant la vulnérabilité et en suivant les bonnes pratiques, les administrateurs n’auraient plus à examiner les graphes et à déterminer où élaguer les appartenances aux groupes, rendant ainsi le graphe inutile.
Étude de cas : Craquage de mots de passe
Examinons un autre Attack Path simple.
Dans le chemin d’attaque ci-dessus, l’ordinateur d’un utilisateur (COMPUTER 1) a été compromis. À partir de là, un attaquant parvient à craquer les identifiants du compte administrateur local de l’ordinateur. L’attaquant utilise ensuite le mot de passe de ce compte administrateur local pour se connecter à un autre ordinateur (COMPUTER 2), qui a été (mal)configuré pour faciliter l’administration avec les mêmes identifiants. Sur COMPUTER2, l’attaquant craque le hash du compte Domain Admin, élevant ainsi avec succès ses privilèges.
Un outil d’évaluation de sécurité Active Directory peut rapidement atténuer ce risque en relayant les informations suivantes à un analyste :
- LAPS (Local Administrator Password Solution) n’a pas été détecté comme étant configuré dans Active Directory. Si cela avait été le cas, cela aurait empêché l’attaquant de passer de COMPUTER1 à COMPUTER2 en utilisant le même mot de passe administrateur local. S’assurer que chaque compte administrateur local dispose d’un mot de passe différent et rotatif est une bonne pratique. LAPS répond à ce besoin.
- Un compte Domain Admin s’est connecté à un poste de travail par le passé, laissant un hash que l’attaquant pourrait utiliser. La bonne pratique recommandée ici est d’utiliser les comptes Domain Admin uniquement pour se connecter aux contrôleurs de domaine et de supprimer tous les hash sur les postes de travail et serveurs membres.
En suivant les étapes d’atténuation et les recommandations de bonnes pratiques d’un outil d’évaluation de sécurité AD, un administrateur peut éliminer le chemin d’attaque potentiel d’un attaquant et l’empêcher d’exploiter ces mauvaises configurations et vulnérabilités.
Risques Active Directory que les Attack Paths ne détectent pas
Les Attack Paths sont conçus pour montrer les attaques connues, tandis que la correction des vulnérabilités élimine à la fois celles-ci et, souvent, des vecteurs inconnus également. Par conséquent, il est plus important d’éradiquer les vulnérabilités et de suivre les bonnes pratiques.
Les représentations fournies par les Attack Paths sont incomplètes par rapport à la réalité de la sécurité Active Directory. Les graphes montrant comment l’organisation pourrait être vulnérable ne sont pas aussi efficaces que les outils capables de garantir que l’infrastructure AD n’est pas exposée et ne le sera pas à l’avenir.
Voici quelques exemples d’attaques qui ne se prêtent pas à des graphes d’Attack Path élaborés, mais qu’il est essentiel pour une évaluation de sécurité AD de détecter.
- Attaques par force brute sur les mots de passe – Une évaluation doit détecter les identifiants utilisant des mots de passe courants, des mots du dictionnaire, ou des tentatives d’entrer toutes les combinaisons possibles jusqu’à ce qu’un mot de passe soit « deviné ».
- Expositions à la délégation non restreinte – Lorsqu’un utilisateur AD ou un objet ordinateur a été délégué à un service utilisant Kerberos. Si compromis, cela peut permettre à l’attaquant d’usurper le compte authentifié auprès de n’importe quel service.
- Protection de votre Active Directory contre les attaques AdminSDHolder – Ajouter des utilisateurs ou des groupes au modèle AdminSDHolder dans Active Directory qui est « appliqué » à chaque utilisateur et groupe privilégié via l’ACL, leur donnant des droits sur ces comptes.
Singularity™ Identity Posture Management analyse l’environnement Active Directory à la recherche de vulnérabilités telles que celles-ci et bien d’autres, guide les administrateurs sur la manière de les corriger et garantit l’application des bonnes pratiques pour les prévenir à l’avenir.
Réduire les risques liés à l'identité dans l'ensemble de votre organisation
Détecter et répondre aux attaques en temps réel grâce à des solutions globales pour Active Directory et Entra ID.
Obtenir une démonstrationConclusion
Bien que les Attack Paths soient des graphes intéressants qui peuvent éclairer les administrateurs sur la manière dont des attaques potentielles peuvent se produire sur le réseau, ils ne remplacent pas une approche proactive qui élimine les vulnérabilités connues et applique les bonnes pratiques. Singularity Identity Posture Management identifie les vulnérabilités et guide les administrateurs pour les corriger et les maintenir fermées.
FAQ sur l’évaluation de la sécurité Active Directory
Une évaluation de la sécurité AD est un examen détaillé de la configuration de votre domaine, des autorisations, des stratégies de groupe et des paramètres de compte afin d’identifier les faiblesses. Elle analyse la structure des utilisateurs, ordinateurs et groupes, vérifie les droits inappropriés ou les objets obsolètes, et simule des scénarios d’attaque. Vous pouvez utiliser ses résultats pour renforcer AD avant que des attaquants n’exploitent les failles.
Une évaluation de la sécurité AD vise à révéler les mauvaises configurations et les droits à risque qui pourraient permettre aux attaquants de se déplacer latéralement, d’escalader les privilèges ou de collecter des identifiants. En cartographiant les relations de confiance, en évaluant les ACL et en testant les chemins d’attaque, vous pouvez prioriser les corrections et réduire la surface d’attaque de votre organisation avant l’apparition de menaces réelles.
Les graphes de chemins d’attaque visualisent les routes potentielles qu’un attaquant pourrait emprunter dans AD en fonction des autorisations actuelles. Une évaluation de la sécurité AD va plus loin : elle audite les paramètres de configuration, vérifie la conformité avec les référentiels de sécurité et teste ces chemins en pratique. Elle combine l’analyse statique et les tests pratiques pour valider quels chemins d’attaque sont réellement exploitables.
Voir uniquement les chemins d’attaque possibles ne permet pas de savoir si des contrôles comme les ACE « deny » ou les alertes de surveillance les bloquent. Une évaluation AD teste les configurations dans votre environnement réel, signale les paramètres obsolètes et vérifie quels chemins fonctionnent réellement.
Cette preuve concrète vous aide à vous concentrer sur les changements qui empêcheront les exploitations réelles au lieu de poursuivre chaque risque théorique.
Dans un cas, une évaluation a révélé un compte de service oublié avec des privilèges d’administrateur de domaine enchaînés via une ACL obsolète. La suppression de ce lien a empêché un attaquant de pivoter. Dans un autre, des vérifications d’audit ont identifié des groupes imbriqués accordant des droits étendus à des prestataires : la suppression de ces appartenances a fermé des chemins d’escalade de privilèges qu’un adversaire prévoyait d’exploiter.
Les évaluations AD identifient les ACL trop permissives, la délégation non restreinte, les comptes obsolètes ou à privilèges élevés, les tickets de service exposés, les paramètres Kerberos faibles et les lacunes dans la sécurité des stratégies de groupe. Elles détectent aussi l’absence de gestion des correctifs sur les contrôleurs de domaine, les configurations LDAPS/TLS faibles et les liens de réplication non surveillés souvent utilisés par les attaquants pour un accès furtif.
Les outils d’évaluation peuvent extraire les identifiants hachés depuis LSASS, simuler le Kerberoasting pour demander des tickets de service et tester les clés Kerberos faibles. Ils mettent en évidence les comptes utilisant le chiffrement réversible ou dépourvus de service principal renforcé. En ciblant ces comptes, vous pouvez réinitialiser les mots de passe, exiger un chiffrement plus fort et bloquer les demandes de tickets qui alimentent le craquage hors ligne.
AD est au cœur du modèle de confiance de votre réseau : s’il est compromis, les attaquants obtiennent un accès étendu. La visibilité sur chaque ACL, paramètre de délégation et configuration de contrôleur de domaine vous montre où une élévation de privilèges ou un mouvement latéral pourrait se produire. Sans cette vision claire, vous devez deviner les risques et risquez de manquer des chemins d’attaque cachés jusqu’à ce qu’il soit trop tard.
Vous devriez effectuer des évaluations complètes de la sécurité AD au moins chaque trimestre ou après des changements majeurs comme des migrations, des mises à niveau de contrôleurs de domaine ou des fusions. Entre-temps, vérifiez chaque mois les zones clés : appartenances aux groupes à privilèges, modifications des GPO et journaux d’audit. Une cadence régulière permet de détecter rapidement les nouvelles mauvaises configurations avant que les attaquants ne les découvrent.
Mettez régulièrement à jour vos données de vulnérabilité et utilisez des outils d’automatisation de la sécurité avancés. Activez la surveillance continue des menaces, la surveillance basée sur les graphes, ainsi que l’identité, et priorisez vos actifs les plus critiques. Utilisez des cadres de renseignement sur les menaces et améliorez la visibilité sur les environnements multi-cloud grâce aux solutions de sécurité alimentées par l’IA de SentinelOne’s.
