Facebook Pixel
Obtenir un devis

Attaques avancées sur Active Directory et stratégies de défense

  • Home
  • Blog
  • Attaques avancées sur Active Directory et stratégies de défense
Attaques avancées sur Active Directory et stratégies de défense

1. Introduction à la sécurité d’Active Directory & CyberDefense – YUCELSAN

Active Directory (AD) est au cœur des infrastructures IT des entreprises. Il gère les utilisateurs, groupes, stratégies de sécurité et authentifications. Mais en raison de sa complexité et de certaines configurations faibles, il est une cible privilégiée des attaquants.

📌 Pourquoi Active Directory est une cible ?
✔ Contrôle centralisé des accès utilisateurs et des ressources.
✔ Présence fréquente de configurations faibles.
✔ Utilisation de protocoles hérités vulnérables (NTLM, SMBv1).
✔ Attaques à fort impact : compromission d’un DC = contrôle total du domaine.

👉 Outils utilisés : BloodHound, Mimikatz, Rubeus, CrackMapExec, PowerView, ADExplorer.

2. Techniques d’attaques avancées sur Active Directory

2.1. Reconnaissance et énumération AD

Un attaquant commence par cartographier l’AD et identifier les cibles intéressantes (comptes administrateurs, serveurs critiques).

📌 Outils d’énumération AD :
BloodHound : Cartographie des privilèges et relations AD.
PowerView (PowerSploit) : Extraction des informations AD via PowerShell.
CrackMapExec (CME) : Énumération rapide des partages et utilisateurs.

Exemple : Énumération des utilisateurs avec PowerView

1
Get-NetUser | select name

Affiche la liste des utilisateurs du domaine.

Lister les groupes avec leurs membres

1
Get-NetGroupMember -GroupName "Administrators"

Identifie les comptes administrateurs potentiels.

2.2. Pass-the-Hash et Pass-the-Ticket (PtH/PtT)

Ces attaques permettent d’usurper l’identité d’un utilisateur en utilisant un hash ou un ticket Kerberos volé.

📌 Exploitation avec Mimikatz :
Dump des credentials en RAM :

1
sekurlsa::logonpasswords

Pass-the-Hash pour exécuter une commande en tant qu’admin :

1
sekurlsa::pth /user:Admin /ntlm:<hash>

Pass-the-Ticket (PtT) pour utiliser un ticket Kerberos volé :

1
kerberos::ptt <ticket.kirbi>

📌 Protection contre PtH/PtT :
Désactiver NTLM et forcer Kerberos.
Implémenter LAPS (Local Administrator Password Solution).
Utiliser Windows Defender Credential Guard.

2.3. Attaque Kerberos : Golden Ticket & Silver Ticket

Golden Ticket : Création d’un ticket Kerberos d’administrateur valable 10 ans.

Silver Ticket : Accès à des services spécifiques sans authentification AD complète.

📌 Exploitation d’un Golden Ticket avec Mimikatz

1
kerberos::golden /user:Administrator /domain:corp.local /sid:S-1-5-21-xxxxx /krbtgt:<hash>

L’attaquant peut se faire passer pour n’importe quel utilisateur !

📌 Défense contre Golden Ticket :
Rotation fréquente du mot de passe KRBTGT (tous les 30-90 jours).
Audit des événements Kerberos (Event ID 4769, 4771).
Utilisation de Protected Users Group.

2.4. Exploitation des ACLs (Access Control Lists) et DCSync

Un attaquant ayant des droits étendus sur Active Directory peut modifier les permissions et extraire les hash des utilisateurs.

📌 Outils : BloodHound + Mimikatz + PowerView

Identifier les permissions mal configurées avec BloodHound

1
Invoke-BloodHound -CollectionMethod ACL -OutputDirectory C:\Temp\

Détecte les comptes ayant des privilèges élevés.

Exploiter DCSync pour voler les hash NTLM de tous les utilisateurs AD

1
lsadump::dcsync /domain:corp.local /user:krbtgt

Retourne les hash NTLM des comptes, y compris l’administrateur de domaine.

📌 Défense contre DCSync :
Limiter les droits des comptes sur l’AD.
Auditer les logs Windows (Event ID 4662, 4728, 4732).
Utiliser l’Enhanced Security for Privileged Users (ESPU).

3. Techniques avancées de persistance sur Active Directory

📌 Méthodes utilisées par les attaquants pour maintenir un accès durable :
Backdoor AD via GPO (Group Policy Hijacking).
Ajout d’un compte caché dans les groupes d’administration.
Implantation de tâches planifiées malveillantes sur les DC.

Créer une backdoor via GPO (exécuter une commande malveillante sur toutes les machines)

1
Set-GPRegistryValue -Name "Default Domain Policy" -Key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" -ValueName "Backdoor" -Type String -Value "C:\malware.exe"

Commande injectée dans toutes les machines du domaine !

📌 Défense contre les backdoors AD :
Audit régulier des GPOs avec LGPO.exe.
Vérifier les nouveaux comptes dans les groupes admin.
Surveiller les événements GPO dans les logs Windows.

4. Détection et remédiation des attaques AD

🔐 Bonnes pratiques pour renforcer la sécurité d’Active Directory :
Mise en place d’un modèle d’administration tierisé (Tier 0, Tier 1, Tier 2).
Implémentation de LAPS pour sécuriser les comptes administrateurs locaux.
Désactivation de SMBv1 et NTLMv1.
Utilisation d’un SIEM pour surveiller les événements AD (Splunk, ELK, Azure Sentinel).

Détection d’une attaque Kerberos (Golden Ticket) avec Windows Event Viewer

📌 Événements critiques à surveiller :

  • 4769 : Échec d’authentification Kerberos.
  • 4771 : Échec de pré-authentification Kerberos.
  • 4625 : Tentatives de connexion échouées.

👉 Une analyse approfondie des logs peut révéler des tentatives de compromission.

5. Conclusion

Active Directory est une cible privilégiée des attaquants, et une compromission peut entraîner une prise de contrôle totale du réseau. En comprenant les techniques utilisées par les attaquants (DCSync, Golden Ticket, ACL Hijacking, Pass-the-Hash) et en mettant en place des contre-mesures efficaces (LAPS, RBAC, monitoring avancé, MFA, SIEM), les entreprises peuvent réduire considérablement leur surface d’attaque.

🚀 Besoin d’un audit de sécurité AD ou d’un Red Teaming avancé ? YUCELSAN vous accompagne pour renforcer la sécurité de votre infrastructure Active Directory.

📞 Contactez-nous pour un test de sécurité AD et une remédiation proactive !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Copyright YUCELSAN FR. All Rights Reserved.