L'Agence nationale de la sécurité des systèmes d'information explique que « l’analyse des modes opératoires des attaques récentes met en évidence une recrudescence du ciblage des annuaires Active Directory, compte tenu de leur rôle de pierre angulaire de la plupart des systèmes d’information. En effet, l’attaquant ayant obtenu des droits élevés sur l’annuaire peut alors déployer une charge malveillante sur l’ensemble du système d’information ».
Ses observations font apparaître « un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory », avec une sécurité allant en décroissance au fil du temps.
« En réponse à ce risque croissant, l’ANSSI a développé et met à disposition un recueil de points de contrôle, afin d’accompagner les chaînes DSI et SSI dans le suivi du niveau de sécurité des annuaires Active Directory », indique l’Agence.
Commentaires (18)
#1
Azure + Logs Analytics + Agent OMS sont très bien pour ça
#2
Les serveurs AD sont ultra sensible, ils doivent faire l’objet d’une attention particulière malheureusement souvent négligée car cher.
#3
#4
Est-ce que je comprends bien si je dis que j’ai compris : “c’est l’implémentation des AD qui pose problème et leur administration, pas le soft en lui-même qui serait une passoire” ?
Le titre laisse à penser que c’est AD le problème alors que ce ne serait pas ça si j’ai bien compris.
#5
Tu as bien compris, on ne parle pas de failles dans AD, mais bien de soucis d’implémentation/administration.
#6
C’est sûr que si l’administrateur infra laisse les réglages par défaut / ne met pas à jour / n’implémente pas de règles de définition de mot de passe correctes / ne force pas à changer régulièrement (même si ultra chiant pour les utilisateurs ^^) / n’a pas de sniffer pour détecter et réagir à des comportements anormaux…
" />
Il est difficile d’accuser l’outil.
#7
Active Directory est compliqué.
C’est rendu pire par le fait que des pratiques courantes (et recommandées) il y a quelques années sont devenues obsolètes. Pire encore, l’installation de certaines applications fait sauter des mesures de sécurités (des droits d’accès, des inclusions dans des groupes privilégiés, des mise à valeurs dangereuses de champs optionnels…). Et la moindre de ces erreurs, dans un annuaire qui compte des centaines de milliers de noeuds peut mener à la compromission totale d’un système d’information. Des outils offensifs comme Bloodhound existent juste pour les rechercher automatiquement.
Un AD récent (2016 et suivant), hors de la boite est plutôt sécurisé. Mais quand on commence à y connecter tout un système d’information le niveau peut descendre vite.
Il ne suffit pas d’avoir de bonnes pratiques d’admin (mot de passes forts, double authent, postes dédié…) voir le guide d’hygiène de l’ANSSI pour çahttps://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/
Il faut régulièrement inspecter son Active Directory et faire le ménage de ce qui a sauté ou été mal configuré.
Ce document explique quoi regarder, et pourquoi.
#8
J’ai toujours du mal à comprendre ce que c’est Active Directory et dans quelles circonstances on s’en sert. Quelqu’un pourrait me faire un ELI5 ?
#9
L’active directory est un annuaire avec une forte intégration dans l’environnement microsoft.
Un annuaire est une base de donnée spécialisé dans l’identité (authentification, identification, gestion de mot de passe, ….).
Microsoft a rajouté une surcouche applicative à leur annuaire pour la gestion des connexion sur les PC (centralisation des identifiants/mot de passe, politique de mot de passe, gestion des droits,…) , l’intégration dans leurs messageries (exchange, exchange online, …) la fédération, ..
#10
#11
Comme dit plus haut, l’AD peut devenir un cauchemard dans son administration, outre les best practices d’autresfois aujourd’hui obsolètes voir dangereuses, il y a aussi la fédération (lros de rachat de boite) qui peut mener à des catastrophes, le temps de tout réorganiser;
Nous avons subit un audit de MS là dessus et cela a bien remuer la merde, même des trucs qu’on pensait bien configurer ne l’était pas, sans compter effectivement les applications qui font des modifs sur l’AD (prerequis de fonctionnemnt,etc;).
Mais le fin du fin, c’est d’avoir trouvé un AD en DMZ avec TCP/389 et TCP636 ouvert au quatre vent. .. un miracle qu’on ait pas eu de compromission
#12
c’est un peu le colosse au pied d’argil, l’administration d’AD est souvent pas ou peu maitrisée et le temps dispo aux admin pour y remédier est souvent très faible voir inexistant, en plus du fait que la hierarchie comprenne pas toujours l’intérêt d’investir dans cet outil qui “fonctionne déjà” jusqu’au jour ou ils se font poutrer et qu’il se retrouve avec plus rien de fonctionnel (plus d’erp, les comptes utilisateurs inutilisables les appli métier en vrac etc…) avec un down time pouvant être très long en fonction de la taille de la boite.
Un exemple de vécu : le pirate a choper les droits admin sur un contrôleur de domaine et il a commencer à chiffrer un epu tout ce qu’il pouvait. heureusement l’attaque à été detecter “assez tôt” mais le mal était fait, il a fallu plus de deux mois de travail intensif des admins pour revenir à un semblant d’archi opérationnel.
#13
L’ANSSI : “Ses observations font apparaître « un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory », avec une sécurité allant en décroissance au fil du temps. ”
Et d’autre part : “Active Directory fut présenté pour la première fois en 1996” (Wikipedia)
Le bon vieux principe K.I.S.S. semble si loin …
#14
n plus du fait que la hierarchie comprenne pas toujours l’intérêt d’investir dans cet outil qui “fonctionne déjà”
c’est une problématique récurrente
Un exemple de vécu : le pirate a choper les droits admin sur un contrôleur de domaine et il a commencer à chiffrer un epu tout ce qu’il pouvait. heureusement l’attaque à été detecter “assez tôt” mais le mal était fait, il a fallu plus de deux mois de travail intensif des admins pour revenir à un semblant d’archi opérationnel.
Le pirate a choper les droits admin via un mail piégé ou par un autre biais ?
#15
#16
Je peux te donner un cas rencontré chez un client :
RDP sur un vieux serveur Windows accessible à distance avec faille de sécurité permettant d’ouvrir la session… Ils ont alors trouvés le mot de passe administrateur qui avait été enregistré en clair dans la base de registre par le serveur d’administration d’un antivirus (Sophos).
Résultat, chiffrement de tous les serveurs.
#17
C’est pas d’aujourd’hui que la majorité des “experts” et presta Microsoft font du bullshit…
#18
Le plus drôle, c’est comment on fait parfois CH…. l’utilisateur avec des règles de mot de passe et changement régulier, passage au helpdesk pour la création d’un SharePoint de projet (sans autre support ensuite que débrouille toi), règles absurdes liées au RGPD et puis il y a les failles de sécurité béantes à côté … Comme le VPN avec le même mot de passe pour tout le monde et qui ne change pas pendant dix ans ou encore les comptes invités/étudiants avec toujours le même mot de passe…