Auditer la configuration de son Active Directory
Les points communs de défaillances.
Dans un article précédent (Disponible ici), SYNETIS a détaillé les besoins d’effectuer des audits réguliers d’un annuaire Active Directory au sein d’une entreprise. En complément de ces audits de type offensifs il est fortement recommandé voire nécessaire de vérifier les configurations de sécurité de l’annuaire. Dans ce cas, on parle alors d’audit de configuration.
Cet article vise à mettre en lumière quelques points de défaillances communément rencontrées lors des audits de configuration effectués par SYNETIS :
Mauvaise gestion des groupes privilégiés – grand nombre d’utilisateurs
En effet lors des différents audits effectués, l’un des points remontés par les équipes de SYNETIS est la présence d’un grand nombre d’utilisateurs dans des groupes à privilèges forts tels que les groupes « Domain Admins » ou « Enterprise Admins ».
Cela traduit le niveau bas de maturité de l’administration de l’annuaire et contribue fortement à l’élévation du risque de compromission du domaine.
Également, des groupes prédéfinis dédiés à des opérations précises et censées être vidés après la tâche d’administration effectuée sont trouvés contenant parfois un nombre important d’utilisateurs. Il s’agit par exemple des groupes « Server Operators », « Account Operators », ….
D’ailleurs, l’Agence Nationale de la Sécurité des Système d’Information (ANSSI) recommande de ne plus utiliser ces groupes étant donné qu’ils introduisent directement une possibilité d’élévation de privilèges forts.
Présence de services dangereux sur les contrôleurs de domaine (Print spooler, SMBv1, Telnet)
Lors de l’inspection des contrôleurs de domaine, il arrive régulièrement de rencontrer la présence de services dangereux et non-nécessaires tels que « Print Spooler », « SMBv1 » ou encore « Telnet ».
Lorsqu’ils sont activés, ces services peuvent être exploités à des fins d’élévation de privilèges au rang d’administrateur du domaine.
Il est nécessaire que ces services soient désactivés sur l’ensemble des contrôleurs de domaine.
Présences de mots de passe dans les partages SYSVOL (GPO ou scripts Logon)
Un autre point clé concerne la configuration des stratégies de groupe (GPO) dans lesquelles malheureusement de nombreux mots de passe en clair ou chiffrés (récupérable en clair, car la clé de déchiffrement est disponible) de comptes à privilèges sont retrouvés très facilement.
Pour rappel ces fichiers de configuration sont accessibles à l’ensemble des utilisateurs du domaine via le partage SYSVOL.
Cela implique que dès lors qu’une personne mal intentionnée a un accès dans le réseau interne, celle-ci est capable de récupérer ces identifiants présents dans ces fichiers et procéder à des déplacements latéraux en vue de compromettre le domaine.
Le bulletin de sécurité MS14-025 permet en théorie de corriger la vulnérabilité introduite par la présence des mots de passe dans les préférences de stratégies de groupes.
Cependant, l’application du correctif Microsoft n’a aucun effet sur les mots de passe déjà définis, qui restent persistants tant que les préférences de stratégies de groupes vulnérables ne sont pas supprimées.
Présences de comptes dormants
Les comptes dormants constituent une grande menace pour la sécurité de l’annuaire, car il est possible, sous certaines conditions, de les réutiliser dans le cadre de certaines attaques.
En effet, un attaquant sous certaines conditions (cas des comptes avec le mot de passe par défaut non changé, comptes expirés …) est capable de modifier le mot de passe d’un compte dormant à privilèges en cas d’expiration du mot de passe.
De ce fait celui-ci pourra utiliser ce compte afin de procéder à des attaques de plus grandes envergures au sein du domaine.
De même ces comptes peuvent être utilisés comme moyens de persistance par un attaquant au vu de leurs apparences légitimes.
Bien que leurs présences ne mènent pas directement à des attaques au sein du domaine, il est recommandé de tenir une liste à jour des différents objets de l’annuaire (comptes utilisateurs, comptes machines …) afin d’avoir un environnement contrôlé et structuré.
Cela fait partie des règles d’hygiènes et bonnes pratiques informatiques.
Utilisation de plusieurs comptes de type utilisateurs comme compte de services
Il n’est pas rare de voir aussi des comptes de type utilisateur (comptes normaux) utilisés comme compte de services au sein du domaine.
Cette situation permet d’introduire des vulnérabilités importantes dont l’exploitation peut conduire à une compromission directe ou indirecte du domaine suivant le niveau de privilèges des comptes concernés.
On peut citer des attaques connues telle que le Kerberoasting qui consiste à demander un ticket de service pour ces comptes afin de procéder à une cryptanalyse pour en retrouver le mot de passe.
Présences de machines utilisant des versions de système d’exploitation obsolètes.
La présence des machines utilisant des versions de systèmes d’exploitation obsolètes sur le parc est aussi fortement constatée lors des différents audits de configuration. Celles-ci constituent un vecteur important de compromission possible du domaine, car pour la grande majorité d’entre elles de nombreuses vulnérabilités dont les codes d’exploitation sont disponibles publiquement.
Dans le cas d’une exploitation réussie, un attaquant sera en mesure de récupérer les mots de passe des utilisateurs ayant eu des connexions sur la machine en question. Muni de cela des déplacements latéraux et autres possibilités s’offre à lui.
CONCLUSION
Ces quelques points constituent les faiblesses les plus fréquentes rencontrées lors de différents audits de configuration d’annuaires Active Directory réalisés par les équipes de SYNETIS.
Cependant, de nombreux autres points tout aussi importants (défaut de privilèges, configurations par défaut dangereuses certains réglages, lacune de durcissement des comptes à privilèges ) et impliqués dans plusieurs cas de compromission de domaines sont relevés lors de ces audits.
SYNETIS recommande d’effectuer, en complément de ces audits de configuration, des audits offensifs afin de mettre en lumière l’exploitation des différentes vulnérabilités et faibles de configuration remontées lors de l’audit de configuration.