Ce sont toujours un peu les mêmes erreurs et mauvaises pratiques qui sont la cause d’une compromission totale du système d’information. Elles sont pourtant simples à éviter. Voici comment…

Par Pierre-Antoine Failly-Crawford, Responsable analyses de sécurité chez Varonis

L’annuaire Active Directory est la cible principale des attaquants dans la majorité des incidents de type rançongiciels rencontrés aujourd’hui. Et cela se comprend facilement : une fois les droits d’administration du domaine acquis, l’attaquant sera en mesure d’accéder à l’essentiel des serveurs de fichiers ou des NAS dont l’authentification repose sur le domaine (afin d’exfiltrer de la donnée) et, en dernière étape de son attaque, de déployer son chiffreur sur l’ensemble des postes de travail et serveurs joints au domaine.

L’annuaire Active Directory est donc, à juste titre, considéré comme le « Saint des Saints ». Mais il n’est pas toujours protégé comme tel, et qu’il s’agisse de son architecture ou de son utilisation quotidienne par les administrateurs de l’entreprise, cinq mauvaises pratiques sont quasi systématiquement observées chez les victimes d’attaques de type rançongiciel.

Alors pour élever le niveau de sécurité du SI, commençons par renforcer l’annuaire Active Directory en évitant ces cinq erreurs courantes :

1 — Pas de tiers d’administration

C’est le plus gros morceau, mais aussi le plus efficace : séparer les comptes et l’infrastructure d’administration du domaine du reste du SI. En aucun cas un compte bénéficiant des droits d’administration du domaine ne devrait se connecter à d’autres ressources, en particulier des postes utilisateurs. Car à chaque connexion, le compte d’administration laisse sur la machine cible des éléments qui peuvent permettre à un attaquant de l’usurper. Et comme les postes utilisateurs, notamment, sont particulièrement exposés, s’y connecter avec les droits d’administration du domaine revient trop souvent à servir aux attaquants les clés du royaume sur un plateau.

La bonne pratique : Des comptes spécifiques pour l’administration du domaine, utilisés depuis des machines dédiées. Et dans l’idéal, une architecture en trois tiers, qui distingue le tout-venant très exposé (les postes utilisateurs notamment), les serveurs métiers et les « joyaux de la couronne ».

2 — Une connaissance intime de son AD

Dans 70 % des incidents traités par nos équipes, la victime n’a pas une bonne connaissance de son annuaire : quels sont ses comptes à privilèges, que fait telle ou telle GPO, etc. Cela va souvent de pair avec un manque de connaissance du SI dans sa globalité. Mais concernant l’annuaire, cela se traduit par une incapacité à dire rapidement si telle action menée par tel compte à privilège est légitime, ou encore à quoi sert tel compte de service, ou si ses droits sont appropriés.

Concernant spécifiquement les comptes de service (souvent des cibles de choix pour les attaquants), la situation est aggravée par le fait que certains éditeurs exigent des droits disproportionnés pour leurs applications, ou encore par la tendance, au sein des DSI, de donner un maximum de droits afin de s’assurer que l’application fonctionne au moment de son installation… puis de ne plus vouloir y toucher de peur que ça ne fonctionne plus !

Les DSI sont d’ailleurs souvent très étonnés lorsqu’à la faveur d’un audit de l’usage réel des droits Active Directory, ils découvrent que tel service n’a jamais utilisé tel privilège dont il dispose pourtant !

La bonne pratique : Même si de larges portions du SI sont infogérées, il est vital d’en garder (et d’entretenir !) la bonne connaissance en interne. Les administrateurs doivent être intimes avec ses comptes, ses services, ses droits et ses applications. Des audits réguliers peuvent aider à se dessiner une carte à jour du terrain.

3 — Un manque de formation des administrateurs

Des équipes souvent réduites, des attentes métiers fortes : les équipes de la DSI n’ont pas toujours le temps de se former. Or, les outils évoluent et chaque nouvelle version de Windows Server introduit de nouvelles fonctionnalités de protection ou d’administration potentiellement très utiles, ou qui pourraient aider à mettre en œuvre plus facilement de bonnes pratiques d’administration (telle par exemple la gestion des mots de passe des comptes de service). Mais sans prendre le temps de la formation et de la capitalisation des connaissances, la DSI restera limitée à ses anciennes pratiques : celles qui fonctionnent sans se poser de questions !

La bonne pratique : Former et certifier régulièrement une partie des administrateurs système — et notamment ceux en charge du domaine Active Directory — aux bonnes pratiques d’administration et aux nouveautés des dernières versions de Windows Server. Il est important que cette décision soit inscrite dans les fiches de poste, afin que la formation ne passe pas à la trappe dès qu’il y a une surcharge de travail à la DSI. Et si les équipes n’ont pas le temps de se former, c’est qu’il est temps de recruter !

4 — Faire des recherches de chemins de compromission préventives

Une fois sur le domaine, l’une des premières actions menées par les attaquants sera d’utiliser un outil tel que BloodHound ou AD Control Paths pour rechercher des erreurs de configuration au sein de l’annuaire. Ces dernières sont courantes, tout simplement parce qu’un AD, en particulier au sein d’une organisation étendue, est un objet particulièrement complexe, qui vit et change en permanence. De nombreuses intrusions sont ainsi dues au fait que l’attaquant a pu déployer BloodHound pour trouver un chemin entre le compte sans privilège dont il dispose en arrivant sur le SI et un compte d’administration du domaine.

La bonne pratique : Lancer régulièrement l’outil BloodHound ou AD Control Paths (les deux sont gratuits) et rechercher des chemins de compromission. Il peut être utile de se faire aider en complément par un spécialiste externe afin de s’assurer que rien n’a été oublié… car il est malheureusement très facile de passer à côté d’un chemin de compromission !

5 — Laisser du temps au temps !

Il n’y a pas de secret : rien de bien ne se fait dans la précipitation et sous pression. Un annuaire Active Directory est non seulement un objet très complexe, mais aussi en perpétuelle mutation, au gré des changements d’organisation et des mutations de personnel. Il est difficile de bien l’appréhender s’il est géré par un tiers et/ou que l’on ne prend pas le temps de « sentir » sa configuration et ce qui constitue son fonctionnement nominal, afin de mieux détecter les anomalies.

La bonne pratique : Ne pas surcharger le personnel de la DSI afin de lui laisser le temps de « passer du temps » avec son AD et d’en connaître parfaitement les spécificités.