Référentiel des indicateurs d’exposition (IoE)

Compréhension des IoE d’Alsid

Alsid fournit une méthodologie claire et adaptée à un public non-spécialiste pour améliorer le niveau de sécurité d’une infrastructure Active Directory (AD) sans en modifier les fonctions critiques. La surveillance est réalisée au moyen d’indicateurs d’exposition (IoE) qui détectent les failles de sécurité de votre infrastructure dès leur apparition, de façon consolidée et cohérente.

À chaque changement opéré sur une infrastructure AD, les IoEs d’Alsid évaluent la faisabilité d’un scénario d’attaque. En cas d’anomalie, le produit propose des contre-mesures adaptées à l’infrastructure AD supervisée et une explication des techniques d’attaques à l’origine du risque, faisant d’Alsid une solution de sécurité pragmatique et totalement adaptée à la réalité du terrain.
En plus de la mise en lumière de risques de sécurité, ces indicateurs d’exposition contribuent à renforcer l’application des normes et des dispositions réglementaires, et permettent d’automatiser la production de rapports de conformité.

Isolation des élévations de privilèges
Identification des portes dérobées et des techniques persistantes
Détection des configurations de sécurité dangereuses

Isolation des élévations de privilèges

Ces indicateurs d’exposition (IoE) identifient les failles et erreurs de configuration permettant à un attaquant d’élever ses privilèges jusqu’à obtenir des privilèges d’administration complets sur une infrastructure Active Directory.

Composant de sécurité
Utilisateur
Machine
IoE Détails Outil d’attaque public Groupes d’attaquants utilisant cette technique
Comptes privilégiés utilisant des services Kerberos Détails :Comptes utilisateurs à privilèges élevés possédant un SPN (Service Principal Name) Kerberos favorisant ainsi les attaques par force brute Outil d’attaque public :Kerberom Groupes d’attaquants utilisant cette technique :Regin APT
Délégation Kerberos dangereuse Détails :Vérifie qu’aucune délégation Kerberos dangereuse (délégation non-contrainte, protocole de transition, etc.) n’est mise en place Outil d’attaque public :Nishang Groupes d’attaquants utilisant cette technique :APT29
Utilisation d’algorithmes de chiffrement faibles dans la PKI d’une infrastructure Active Directory Détails :Les certificats racines déployés ne doivent pas utiliser d’algorithmes de chiffrement faibles dans la PKI interne d’une infrastructure Active Directory Outil d’attaque public :ANSSI-ADCP Groupes d’attaquants utilisant cette technique :Non-exploitée à ce jour
Délégation de droits d’accès dangereuse sur certains objets critiques Détails :Certains droits d’accès permettent à des utilisateurs mal intentionnés de prendre le contrôle sur certains éléments sensibles d’Active Directory favorisant la compromission de cette infrastructure. Outil d’attaque public :BloodHood Groupes d’attaquants utilisant cette technique :Carbanak APT
Droits d’accès dangereux dans les scripts de connexion Détails :Certains scripts qui s’exécutent lors de la connexion d’une machine ou d’un utilisateur, disposent de droits d’accès dangereux, pouvant entraîner une élévation de privilèges. Outil d’attaque public :Metasploit Groupes d’attaquants utilisant cette technique :DarkHotel
Mise en cache de compte privilégié sur certains RODC Détails :Les stratégies de filtrage appliquées à certains contrôleurs de domaine en lecture seule (Read-Only Domain Controllers) peuvent entraîner la mise en cache d’informations sensibles permettant une élévation de privilèges en toute discrétion Outil d’attaque public :Mimikatz (DCShadow) Groupes d’attaquants utilisant cette technique :Non-exploitée à ce jour
Mots de passe utilisant un chiffrement réversible dans les GPOs Détails :Certaines stratégies de groupe contiennent des mots de passe dans un format réversible favorisant la compromission des comptes utilisateurs associés Outil d’attaque public :SMB Password crawler Groupes d’attaquants utilisant cette technique :APT28
Comptes de gestion des RODC dangereux Détails :Les groupes d’administration chargés de gérer les contrôleurs de domaine en lecture seule (RODC) contiennent des comptes illégitimes Outil d’attaque public :Impacket Groupes d’attaquants utilisant cette technique :Non-exploitée à ce jour
Mot de passe en clair stockés dans les ressources partagées des contrôleurs de domaine Détails :Certains fichiers stockés dans les ressources partagées des contrôleurs de domaine, accessibles par n’importe quel utilisateur authentifié, sont susceptibles de contenir des mots de passe en clair, pouvant entraîner une élévation de privilèges. Outil d’attaque public :SMBSpider Groupes d’attaquants utilisant cette technique :Corsair Jackal
Gestion des comptes d’administration locaux Détails :Vérifie que les comptes d’administration locaux sont gérés de manière centralisée et sécurisée à l’aide de LAPS Outil d’attaque public :CrackMapExec Groupes d’attaquants utilisant cette technique :Operation Aurora
Relations d’approbation dangereuses Détails :Certaines relations d'approbation mal configurées portent atteinte à la sécurité des infrastructures AD supervisées Outil d’attaque public :Kekeo Groupes d’attaquants utilisant cette technique :NotPetya
Problèmes multiples liés à la politique de gestion des mots de passe Détails :Les politiques de gestion des mots de passe employées sur l’infrastructure Active Directory sont insuffisantes pour assurer une protection robuste des secrets d’authentification de certains comptes utilisateur ou de service. Outil d’attaque public :Patator Groupes d’attaquants utilisant cette technique :Carbanak APT
Utilisation de paramètres dangereux dans le champ « User Account Control » Détails :L’attribut « User Account Control » appliqué à certains comptes utilisateurs et ordinateurs Active Directory définit des paramètres dangereux (exemples : PASSWD_NOTREQD ou PARTIAL_SECRETS_ACCOUNT). Ce paramétrage est susceptible de permettre la compromission des comptes impactés. Outil d’attaque public :Mimikatz (LSADump) Groupes d’attaquants utilisant cette technique :Operation Olympic Games
Utilisation du groupe « Accès compatible pré-Windows 2000 » Détails :Les comptes qui sont membres du groupe « Accès compatible pré-Windows 2000 » peuvent contourner des mesures de sécurité spécifiques Outil d’attaque public :Impacket Groupes d’attaquants utilisant cette technique :DarkHotel
Comptes d’administration autorisés à se connecter à des systèmes autres que les contrôleurs de domaine Détails :Les politiques de sécurité déployées sur les infrastructures supervisées n’empêchent pas les comptes d’administration de se connecter à des ressources autres que les contrôleurs de domaine, entraînant ainsi l’exposition des secrets d’authentification Outil d’attaque public :CrackMapExec Groupes d’attaquants utilisant cette technique :Operation Olympic Games
Configuration dangereuse des utilisateurs anonymes Détails :L’accès anonyme est activé sur l’infrastructure Active Directory supervisée entraînant la fuite d’informations sensibles Outil d’attaque public :Impacket Groupes d’attaquants utilisant cette technique :SAMAS Ransomware
Paramètres dangereux utilisés dans les GPOs Détails :Certains paramètres dangereux (exemples : groupes restreints, génération du hash LAN Manager, niveau d’authentification NTLM, paramètres sensibles, etc.) sont définis par GPO et appliqués à des ordinateurs ou des utilisateurs de l’infrastructure Active Directory favorisant ainsi des failles de sécurité. Outil d’attaque public :Responder Groupes d’attaquants utilisant cette technique :Viceroy tiger
Absence de restrictions sur des déplacements latéraux Détails :Les restrictions prévenant les déplacements latéraux d’un attaquant n’ont pas été activées sur l’infrastructure Active Directory supervisée, permettant ainsi aux attaquants d’obtenir par rebonds successifs un maintien ou une élévation de privilèges en toute discrétion Outil d’attaque public :CrackMapExec Groupes d’attaquants utilisant cette technique :APT28
Ordinateurs utilisant un système d’exploitation obsolète Détails :Certains systèmes d'exploitation obsolètes n’étant plus pris en charge par leurs éditeurs sont toujours actifs sur une infrastructure Active Directory accroissant considérablement la vulnérabilité de cette dernière. Outil d’attaque public :Metasploit Groupes d’attaquants utilisant cette technique :Shell_Crew
GPOs dangereuses liées à des objets critiques Détails :Certaines stratégies de groupe (GPO) gérées par des comptes n’étant pas des administrateurs de l’infrastructure (exemples : le compte du KDC, les contrôleurs de domaine, certains groupes d’administration, etc.) Outil d’attaque public :ANSSI-ADCP Groupes d’attaquants utilisant cette technique :Deadeye Jackal
Tentative d’attaque par force brute sur des comptes utilisateurs Détails :Certains comptes utilisateurs ont été ciblés par une tentative d’attaque par force brute Outil d’attaque public :Patator Groupes d’attaquants utilisant cette technique :APT28
Absence d’application des correctifs de sécurité Détails :Certains serveurs enregistrés dans l’Active Directory n’ont pas installé les dernières mises à jour de sécurité. Outil d’attaque public :Metasploit Groupes d’attaquants utilisant cette technique :Putter Pand
Configuration Kerberos appliquée aux comptes utilisateurs Détails :Certains comptes utilisent une configuration Kerberos dangereuse (exemples : désactivation de la pré-authentification Kerberos ou utilisation de suites de chiffrement obsolètes) Outil d’attaque public :Mimikatz (Silver Ticket) Groupes d’attaquants utilisant cette technique :APT28
Fichier ou partage réseau suspect sur les contrôleurs de domaine Détails :Certains contrôleurs de domaine hébergent des fichiers ou des partages réseau inutiles à la bonne marche d’Active Directory Outil d’attaque public :SMBSpider Groupes d’attaquants utilisant cette technique :Flying Kitten

Identification des portes dérobées et des techniques d’attaques persistantes

Ces indicateurs d’exposition (IoE) vérifient qu’aucune porte dérobée Active Directory n’a été installée par des attaquants sur une infrastructure Active Directory. Ces indicateurs analysent également la robustesse des stratégies de sécurité déployées.

Composant de sécurité
Utilisateur
Machine
IoE Détails Outil d’attaque public Groupes d’attaquants utilisant cette technique
Configuration dangereuse du processus SDProp Détails :L’objet adminSDHolder utilisé par le processus SDProp présente des droits d’accès dangereux Outil d’attaque public :Mimikatz (Golden Ticket) Groupes d’attaquants utilisant cette technique :Equation Group
Certificats sensibles associés à comptes utilisateurs illégitimes Détails :Certains certificats X509 sont stockés dans l’attribut altSecurityIdentities de certains comptes utilisateurs à hauts privilèges, permettant au propriétaire de la clé privée du certificat de s’authentifier avec le compte utilisateur impacté Outil d’attaque public :Not implemented (yet) Groupes d’attaquants utilisant cette technique :Non-exploitée à ce jour
Permissions dangereuses positionnées sur la racine du domaine Active Directory Détails :Certaines permissions positionnées à la racine du domaine peuvent permettre à un attaquant d’accéder aux secrets d’authentification des utilisateurs (comme leurs mots de passe) Outil d’attaque public :BloodHood Groupes d’attaquants utilisant cette technique :Operation Olympic Games
Présence de contrôleurs de domaine illégitimes Détails :Un ou plusieurs contrôleurs de domaine ont récemment été ajoutés dans l’infrastructure Active Directory supervisée. Tout porte à croire que ces contrôleurs de domaine se sont enregistrés de manière illégitime Outil d’attaque public :Mimikatz (DCShadow) Groupes d’attaquants utilisant cette technique :Non-exploitée à ce jour
Positionnement du SPN du Krbtgt SPN sur des comptes illégitimes Détails :Le SPN (Service Principal Name) du centre de distribution des clés (KDC) a été positionné sur certains comptes utilisateurs non-privilégiés, permettant la falsification de tickets d’authentification Kerberos Outil d’attaque public :Mimikatz (Golden Ticket) Groupes d’attaquants utilisant cette technique :Non-exploitée à ce jour
Utilisation d’identifiant de groupe principal dangereux Détails :Certains comptes utilisateur ou de machine utilisent un groupe principal permettant des élévations de privilèges Outil d’attaque public :BloodHood Groupes d’attaquants utilisant cette technique :Operation Ke3chang
Comptes disposant d’un attribut SID History dangereux Détails :Certains comptes utilisateurs et de machines possèdent des SID privilégiés dans l'attribut SID History, permettant l’obtention de privilèges illégitimes sur l’infrastructure Active Directory supervisée Outil d’attaque public :DeathStar Groupes d’attaquants utilisant cette technique :APT28
Date de la dernière modification du mot de passe du compte KDC Détails :La date de dernier changement du mot de passe du compte KDC est très ancienne. Cette date doit être modifiée régulièrement Outil d’attaque public :Mimikatz (Golden Ticket) Groupes d’attaquants utilisant cette technique :Epic Turla
Permissions dangereuses appliquées aux objets et aux fichiers GPO sensibles Détails :Certaines permissions appliquées aux objets et fichiers de GPO liés à des conteneurs sensibles (tels que les OU Contrôleurs de domaine) permettent à des utilisateurs illégitimes d’élever leurs privilèges Outil d’attaque public :BloodHood Groupes d’attaquants utilisant cette technique :Equation Group
Droits d’accès dangereux sur le compte KDC des RODC Détails :Le compte utilisé par le KDC de certains contrôleurs de domaine en lecture seule (RODC) peut être compromis par un compte utilisateur illégitime, entraînant l’exposition de ses secrets d’authentification (comme les mots de passe, les clés de session Kerberos, etc.) Outil d’attaque public :Mimikatz (DCSync) Groupes d’attaquants utilisant cette technique :Non-exploitée à ce jour
Stratégie dangereuse de mise en cache des secrets d’authentification sur les RODC Détails :La stratégie de mise en cache configurée sur certains contrôleurs de domaine en lecture seule (Read-Only Domain Controllers) permet aux comptes d’administrateur global de mettre en cache leurs informations d’authentification et d’autoriser leur récupération par les comptes de gestion RODC, moins privilégiés. Outil d’attaque public :Mimikatz (DCSync) Groupes d’attaquants utilisant cette technique :Non-exploitée à ce jour
Accès illégitime aux clés de déchiffrement BitLocker Détails :Certaines clés de récupération BitLocker stockées dans l’Active Directory sont accessibles par d’autres personnes que les administrateurs et les ordinateurs connectés Outil d’attaque public :ANSSI-ADCP Groupes d’attaquants utilisant cette technique :Equation Group
Certificat déployé par GPO et appliqué sur certains contrôleurs de domaine Détails :Certaines GPOs sont utilisées pour déployer des certificats dans le magasin de certificats système des contrôleurs de domaine, permettant ainsi au propriétaire de la clé privée de compromettre ces serveurs. Outil d’attaque public :BloodHood Groupes d’attaquants utilisant cette technique :Non-exploitée à ce jour
Compte DSRM (Directory Services Restore Mode) activé Détails :Le compte de restauration Active Directory a été activé ce qui augmente le risque d’un accès illégitime au contrôleur de domaine. Outil d’attaque public :Mimikatz (LSADump) Groupes d’attaquants utilisant cette technique :Shamoon
Entrées suspectes dans les descripteurs de sécurité par défaut du schéma Détails :Une modification du schéma Active Directory a défini de nouveaux droits d’accès standards sur certains objets Active Directory. Ces modifications peuvent permettre la compromission de l’infrastructure supervisée Outil d’attaque public :BloodHood Groupes d’attaquants utilisant cette technique :DUQU 2.0
Utilisation d’interdictions d’accès explicites sur certains conteneurs Active Directory Détails :Certains conteneurs ou unités d’organisation (OU) Active Directory définissent des interdictions d’accès explicites, permettant de dissimuler la présence d’un attaquant aux équipes d’administration ou de sécurité Outil d’attaque public :BloodHood Groupes d’attaquants utilisant cette technique :DarkHotel
Utilisation du stockage des mots de passe au format réversible sur certains comptes Active Directory Détails :Certains comptes utilisateur ou de machine sont configurés pour utiliser le stockage réversible de leurs mots de passe. Ce défaut de configuration facilitera le vol de mot de passe en cas de compromission d’une infrastructure Active Directory. Outil d’attaque public :Mimikatz (DC Sync) Groupes d’attaquants utilisant cette technique :Poseidon APT
Secret non-renouvelé lors de l’utilisation d’une carte à puce comme moyen d’authentification Détails :Certains comptes utilisateurs utilisant l’authentification par carte à puce ne renouvellent pas régulièrement leur empreinte cryptographique (hash). Outil d’attaque public :Mimikatz (LSADump) Groupes d’attaquants utilisant cette technique :Rescator

Détection des configurations de sécurité dangereuses

Ces indicateurs d’exposition (IoE) s’assurent que les infrastructures Active Directory supervisées appliquent les recommandations de sécurité permettant de renforcer leurs résilience vis-à-vis des cyberattaques modernes.

Composant de sécurité
Utilisateur
Machine
IoE Détails Outil d’attaque public Groupes d’attaquants utilisant cette technique
Positionnement de l’attribut adminCount sur des utilisateurs non-administrateurs Détails :Certains anciens comptes d’administration aujourd’hui déclassés ne peuvent pas être gérés globalement à cause de la présence de l’attribut adminCount. Ce défaut de configuration est susceptible d’affaiblir la politique de sécurité appliquée sur ces comptes Outil d’attaque public :CrackMapExec Groupes d’attaquants utilisant cette technique :APT1
Présence d’unité d’organisation bloquante Détails :Certaines unités d’organisation bloquent l’héritage des permissions de contrôle ou l’application de stratégies de sécurité déployées par GPO. Cette configuration est susceptible de remettre en cause la bonne application de la politique de sécurité déployée sur une infrastructure Active Directory Outil d’attaque public :Responder Groupes d’attaquants utilisant cette technique :APT28
Membres des groupes d’administration par défaut Détails :Présence de comptes Active Directory illégitimes dans les groupes d’administration par défaut de l’infrastructure Active Directory supervisée Outil d’attaque public :Impacket Groupes d’attaquants utilisant cette technique :APT28
Domaine Active Directory présentant une configuration dangereuse pour des raisons de rétrocompatibilité descendante Détails :L’attribut dSHeuristics de certains domaines Active Directory supervisés modifie le comportement de l’infrastructure Active Directory et affecte son niveau de sécurité. Cette configuration est susceptible de favoriser la fuite d’information ou la compromission des domaines Active Directory supervisés. Outil d’attaque public :Enum Groupes d’attaquants utilisant cette technique :Epic Turla
Présence de comptes dormants Détails :Des comptes dormants inutilisés sont restés actifs, favorisant leur compromission par un attaquant Outil d’attaque public :Mimikatz (Token Impersonate) Groupes d’attaquants utilisant cette technique :Poseidon APT
Absence d’utilisation du groupe Active Directory « Utilisateurs protégés » Détails :Le groupe Active Directory « Utilisateurs protégés » est non-existant ou non-utilisé sur l’infrastructure supervisée. L’absence d’utilisation de ce groupe pour les comptes à hauts privilèges est susceptible de favoriser le vol des secrets d’authentification de ces comptes Outil d’attaque public :Mimikatz (Silver Ticket) Groupes d’attaquants utilisant cette technique :Rescator
Domaines Active Directory disposant d’un niveau fonctionnel obsolète Détails :Un niveau fonctionnel obsolète empêche l’utilisation de fonctionnalités de sécurité avancées Outil d’attaque public :Patator Groupes d’attaquants utilisant cette technique :Epic Turla
Présence de GPOs non liées, désactivées ou orphelines Détails :Utiliser des stratégies de groupe non liées, désactivées ou orphelines peut générer des erreurs d’administration favorisant les incidents de sécurité sur une infrastructure Active Directory Outil d’attaque public :GPOInjection Groupes d’attaquants utilisant cette technique :Equation Group
Utilisation récente du compte d’administration par défaut Détails :Le compte d’administration prédéfini a été récemment utilisé. Il est généralement déconseillé d’utiliser ce compte de secours pour des actions d’administration courantes dans la mesure où aucun mécanisme de sécurité n’est appliqué sur ce compte Outil d’attaque public :Mimikatz (Token Impersonate) Groupes d’attaquants utilisant cette technique :Hurricane Panda
Présence de comptes désactivés dans les groupes privilégiés Détails :Certains comptes inutilisés sont dans des groupes disposant de privilèges élevés. Il est préférable de supprimer ces comptes afin d’éviter toute erreur d’administration Outil d’attaque public :Mimikatz (Silver Ticket) Groupes d’attaquants utilisant cette technique :Guardians of Peace
Nombre de contrôleurs de domaine inapproprié Détails :Sur la base du nombre d’objets contenus dans l’infrastructure Active Directory supervisée, le nombre de contrôleurs de domaine semble inapproprié. Un nombre inapproprié de contrôleurs de domaine est susceptible de favoriser la fuite des secrets d’authentification qu’ils contiennent Outil d’attaque public :Metasploit Groupes d’attaquants utilisant cette technique :APT1
Comptes Active Directory dotés de mots de passe sans date d’expiration Détails :Certains comptes Active Directory utilisant la propriété DONT_EXPIRE ne sont pas affectés par la politique de renouvellement des mots de passe favorisant la persistance d’un attaquant Outil d’attaque public :Impacket Groupes d’attaquants utilisant cette technique :DUQU 2.0
Absence de centralisation des journaux des évènements AD Détails :L’absence de collecte et de centralisation des journaux d’évènements Active Directory nuit à la mise en place d’une réponse sur incident efficace. Outil d’attaque public :Metasploit Groupes d’attaquants utilisant cette technique :Regin APT
Absence d’utilisation de stratégie d’audit de sécurité avancée Détails :Afin de permettre une réponse sur incident efficace, il convient de définir une politique de journalisation adaptée utilisant notamment les fonctionnalités de journalisation avancée. Cette fonctionnalité n’étant pas utilisée, la surveillance des évènements de sécurité devient inefficace. Outil d’attaque public :Mimikatz (LSADump) Groupes d’attaquants utilisant cette technique :Guardians of Peace
Possibilité d’ajout de nouvelles machines au domaine AD par des utilisateurs standards Détails :Des utilisateurs standards ont le droit d’ajouter de nouvelles machines aux domaines Active Directory supervisés sans l’approbation des équipes d’administrateurs favorisant ainsi l’ajout de ressources illégitimes dans une infrastructure Active Directory. Outil d’attaque public :Mimikatz (DCShadow) Groupes d’attaquants utilisant cette technique :Operation Aurora
Utilisation d’ACE non-canoniques Détails :Certaines stratégies de contrôle d’accès appliquées à des objets Active Directory utilisent des entrées de contrôle d’accès (Access Control Entries) au format non-canonique susceptibles de dissimuler des contrôles d’accès illégitimes. Outil d’attaque public :Empire Groupes d’attaquants utilisant cette technique :Equation Group
Absence de sauvegarde de l’Active Directory Détails :Les infrastructures AD supervisées ne semblent pas bénéficier de sauvegardes régulières engendrant un risque de perte de données (lors d’une attaque par un ransomware par exemple). Outil d’attaque public :Impacket Groupes d’attaquants utilisant cette technique :WananCry Ransomware
Non-respect des conventions de nommage des comptes Active Directory Détails :Certains comptes utilisateur, de service ou de machine ne respectent pas les conventions de nommage applicables aux infrastructures supervisées. Cette lacune est susceptible d’apporter de la confusion dans la gestion des comptes Active Directory. Outil d’attaque public :Responder Groupes d’attaquants utilisant cette technique :Putter Panda
Absence d’utilisation des comptes de Service administrés Détails :Certains comptes de service compatibles n’utilisent pas la fonctionnalité de comptes de service administrés pour renouveler automatiquement leurs mots de passe. Cette lacune favorise l’utilisation de mots de passe non-renouvelés, engendrant un risque de persistance d’un attaquant. Outil d’attaque public :Patator Groupes d’attaquants utilisant cette technique :NotPetya

Contactez-nous

Découvrons ensemble comment Alsid peut améliorer la sécurité de vos infrastructures d’annuaire

Contactez-nous