tester la sécurité de votre annuaire active directory : top 10 des menaces et des mesures de...
TRANSCRIPT
![Page 1: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/1.jpg)
Tester la sécurité de votre annuaire
Active Directory
Guillaume MATHIEU- Architecte - Responsable Avant-Vente Metsys
Retrouvez nous sur http://www.metsys.fr/blog
![Page 2: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/2.jpg)
Création en 2011
CA 2012 : 0,5 M€
CA 2013 : 2,1M€
CA 2014 : 5 M€
3eme société IT
en terme d’évolution, 1er SSII
[Channel News – 15/10/14]
METSYS : Fiche d’identité
46 experts Microsoft seniors
Spécialisés sur l’ensemble
des technologies
Spécialiste Azure et Office 365
© C
opyrig
ht
2014 M
ET
SY
S. T
ous d
roits r
éserv
és
![Page 3: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/3.jpg)
La communauté Metsys
![Page 4: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/4.jpg)
1. Comment les hackers récupèrent les mots de passe Active Directory ?
2. Comment les hackers peuvent élever les privilèges ?
3. Comment les hackers peuvent récupérer un accès SYSTEM ?
4. Comment effectuer un déni de service avec Metasploit ?
Agenda
a. Avec le fichier NTDS.DIT (démo)
b. Avec le mot de passe d’un service Windows (démo)
c. Avec une capture réseau
a. Via NTLM Pass The Hash (démo)
b. Via l’outil INCOGNITO (démo)
c. Via le SID History (démo)
![Page 5: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/5.jpg)
Recommandation ANSII : http://www.ssi.gouv.fr/
Recommandation Microsoft : http://aka.ms/bpsad
Contexte
Les procédures pour sécuriser
un annuaire Active Directory existent
mais ne sont pas appliquées ou connues !
![Page 6: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/6.jpg)
Mot de passe d’un compte utilisateur Active Directory :
Stocké sous forme d’une empreinte (Hash)
2 types d’empreinte :
LMHASH (14127487) : 882B5831DF88FDB77C3113B4A1A5E3A0
NTHASH (14127487) : B8895ECED52341EDFC6A078BB962CB3B
Rainbow Table : retrouver un mot de passe à partir d’un HASH
Démo1 : récupérer le mot de passe d’un utilisateur
à partir du fichier NTDS.DIT
![Page 7: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/7.jpg)
Le LMHASH :
Attributs dBCSPwd (mot de passe) et lmPwdHistory (historique) protégés par
le système
Mot de passe < 14 caractères, pas de majuscules / minuscules
LMHASH = DES(Password[0..6], KGS!@#$%) | DES(Password[7..13],
KGS!@#$%)
Mot de passe < 8 caractères -> résultat seconde clé : 0xAAD3B435B51404EE
Rainbow Table 17 Go : retrouver tout mot passe à partir de son LMHASH
Démo1 : récupérer le mot de passe d’un utilisateur
à partir du fichier NTDS.DIT
![Page 8: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/8.jpg)
Le NTHASH :
Attribut UnicodePwd (mot passe actuel) et ntPwdHistory (historique)
NTHASH = MD4 (Password Unicode)
Rainbow Table 5 Go : retrouver un mot de passe < 8 caractères si utilisation
mot du dictionnaire ou suite de chiffres
Démo1 : récupérer le mot de passe d’un utilisateur
à partir du fichier NTDS.DIT
![Page 9: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/9.jpg)
Démonstration 1
![Page 10: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/10.jpg)
Préconisation Metsys :
nombre logins / utilisateur
LMHASH
Mot de passe > 7 caractères pour les utilisateurs standards
Mot de passe > 16 caractères pour les comptes avec privilèges
Contourner les blocages humains
Démo1 : récupérer le mot de passe d’un utilisateur
à partir du fichier NTDS.DIT
![Page 11: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/11.jpg)
LSA SECRETS : exemple avec le mot de
passe d’un compte de service
Démo2 : récupérer le mot de passe d’un service Windows
![Page 12: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/12.jpg)
Démonstration 2
![Page 13: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/13.jpg)
Préconisation Metsys : protéger les LSA SECRETS
Ouverture de session sur des machines non sécurisées
Compte de service = minimum de privilèges
Mots de passe sensibles ≠ coffre fort Windows
Cache des sessions sur les serveurs / machines d’administration
Utilisateur ≠ administrateur de sa station
Bloquer l’outil PSEXEC (AppLocker)
Utiliser des MSA ou des gMSA pour les services / tâches planifiées
Démo2 : récupérer le mot de passe d’un service Windows
![Page 14: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/14.jpg)
Comment s’authentifier avec un annuaire Active Directory ?
LDAP BIND SIMPLE : transmission de mot de passe (texte clair) via le
réseau
LDAP BIND SASL (Simple Authentication and Security Layer) :
authentification avec Lan Manager, NTLM ou Kerberos
Démo3 : récupérer le mot de passe d’un compte de service
via une capture réseau
![Page 15: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/15.jpg)
Démonstration 3
![Page 16: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/16.jpg)
Préconisation Metsys :
Signer les données LDAP : bloque les authentifications LDAP BIND SIMPLE
sans SSL.
Générer des certificats pour les contrôleurs de domaine.
Démo3 : récupérer le mot de passe d’un compte de service
via une capture réseau
![Page 17: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/17.jpg)
Authentification NTLM :Charlie accède au serveur FILE1. DC1 est le contrôleur du domaine. CL1 est la machine de Charlie.
Démo4 : élévation de privilège avec NTLM Pass The Hash
Charlie
CL1
FILE1 DC1
Version NTLM
(négociation…)
1 - Charlie ouvre sa session2- Charlie accède à File1
Challenge
4- CL1 chiffre ce challenge avec NTHASH Charlie et le
renvoie
3- FILE1 génère le challenge et l’envoie à CL1
Réponse
5- FILE1 envoie le logon + challenge + réponse à DC1
Challenge
Logon de
Charlie
6- DC1 génère la réponse avec le challenge et le logon de Charlie
Réponse
DC1 : OK
7- DC1 compare la réponse générée avec celle reçue par FILE18- Si les deux réponses correspondent, DC1 donne accès à FILE1
« Je suis
Charlie »
![Page 18: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/18.jpg)
Démonstration 4 : élévation de privilège avec NTLM Pass The Hash
Comprendre l’attaque NTLM Pass the Hash :
Comportement standard du protocole NTLM (SSO)
Sur une machine distante (ouverture de session réseau)
Mot de passe complexe -> vulnérable à cette attaque !
![Page 19: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/19.jpg)
Démonstration 4
![Page 20: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/20.jpg)
Préconisations Metsys :
Activer NTLM V2
Désactiver NTLM ?
Protéger les NTHASH / LSA SECRETS
Démonstration 4 : élévation de privilège avec NTLM Pass The Hash
![Page 21: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/21.jpg)
Qu’est ce qu’un SID ?
Attribut objectSid -> protégé en écriture par LSASS.EXE
Identifiant de sécurité unique généré Active Directory (maître RID)
Les permissions sont associées à un SID
Démonstration 5 : élévation de privilège avec l’outil INCOGNITO
![Page 22: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/22.jpg)
Qu’est ce qu’un jeton d’accès (Access Token) ?
Contient les SID du compte utilisateur / groupes
Liste des privilèges (Debug Programs) de l’utilisateur
Jeton d’accès primaire : généré par Lsass.exe à l’ouverture de session
Démarrage de Notepad.exe : jeton d’accès primaire est copié / attaché au
processus Notepad
Processus nécessite permissions (NTFS) ou un privilège (Debug Programs)
-> Windows analyse jeton d’accès
Démonstration 5 : élévation de privilège avec l’outil INCOGNITO
![Page 23: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/23.jpg)
Présentation d’INCOGNITO :
Duplique les jetons d’accès existants et les utilise pour exécuter des tâches
Nécessite les privilèges Debug Programs, Replace a process-level token,
Impersonate a client after authentication
Exécuter INCOGNITO en tant que System (PSEXEC)
Utiliser la version 2.0 d’INCOGNITO : https://labs.mwrinfosecurity.com/tools/
Démonstration 5 : élévation de privilège avec l’outil INCOGNITO
![Page 24: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/24.jpg)
Démonstration 5
![Page 25: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/25.jpg)
Préconisation Metsys :
Détecter INCOGNITO avec antivirus
Utilisateur ≠ administrateur station de travail
Replace a process-level token, Impersonate a client after authentication et
Debug Programs
Démonstration 5 : élévation de privilège avec l’outil INCOGNITO
![Page 26: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/26.jpg)
Présentation du SID History :
Pour les migrations (ADMT)
L’attribut SIDHistory (tableau) est protégé contre les accès en écriture
Ajout SID History avec SIDCloner, suppression avec ADMOD.EXE
Démonstration 6 : Elévation de privilège avec le SID History
![Page 27: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/27.jpg)
Démonstration 6
![Page 28: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/28.jpg)
Préconisation Metsys :
SID History en fin de migration
Activer la quarantaine SID (netdom trust) en fin de migration
Démonstration 6 : Elévation de privilège avec le SID History
![Page 29: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/29.jpg)
Démonstration 7 : accès SYSTEM au démarrage d’une machine
“If a bad guy has unrestricted
physical access to your computer,
it's not your computer anymore”
Loi n°3 de Jesper M.Johansson
![Page 30: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/30.jpg)
Démonstration 7
![Page 31: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/31.jpg)
Démonstration 8 : effectuer un déni de service avec Metasploit
Présentation de Metasploit :
Un exploit = permet l’élévation de privilège ou le déni de service.
Metasploit = base de donnée d’exploits.
MS012-020 crash machine via vulnérabilité service TSE / RDS
![Page 32: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/32.jpg)
Démonstration 8
![Page 33: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/33.jpg)
Mots de passe complexe et LMHASH
Minimum de droits (services, comptes administratifs)
Activer la signature LDAP
SID History
Utilisateur ≠ administrateur
Debug Programs, Impersonate a client after authentication, Replace a process-
level token
Chiffrer les disques
OS supporté et à jour
Synthèse des préconisations
![Page 34: Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité](https://reader033.vdocuments.net/reader033/viewer/2022051414/55a6af5e1a28ab725c8b45f0/html5/thumbnails/34.jpg)
Venez chercher votre livre sur le stand Metsys !
Stand G11