Pendant cette session, nous ferons une démonstration Live complète des différentes méthodes de hack dédiées à Active Directory. Nous parcourrons les différentes étapes d’une attaque ciblée vers Active Directory : élévation locale de privilèges, découverte de l’environnement, découvert du réseau et du design Active Directory, le mouvement latéral pour étendre l’attaque, l’élévation de privilège sur les serveurs intermédiaires et finalement la conquête du domaine et de la forêt. Nous listerons ensemble les outils nécessaires à ces attaques et aborderons conjointement les attaques volontaires et les attaques via les malwares de type ransomware. Finalement, nous fournirons les conseils principaux pour rendre votre instance Active Directory moins sensible à ces types d’attaques.
L’authentification sans mot de passe, la meilleure façon de se protéger !
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
1. Merci à tous nos partenaires !
24 octobre 2019 - PARIS
@IdentityDays #identitydays2019
2. Comment hacker Active Directory de A à D (Z) ?
Identity Days 2019
24 octobre 2019 - PARIS
3. • Bio
• Active Directory
• Les raisons de notre l’échec
• C’est quoi une attaque sur AD ?
• Démonstration en 4 étapes
• Recommandations complémentaires
AGENDA DE LA SESSION
24 octobre 2019 - PARIS
Identity Days 2019
“ Comment
hacker Active
Directory de
A à D (Z) ? ”
4. AGENDA DE LA CONFÉRENCE
24 octobre 2019 - PARIS
Identity Days 2019
Sylvain Cortes
Security Evangelist
@sylvaincortes
sylvaincortes@hotmail.com
Depuis 12 ans
▪ GPOs
▪ Active Directory
▪ Microsoft Identity Manager
▪ Enterprise Mobility (IDA)
Mon blog: www.identitycosmos.com
▪ Gestion des identités
▪ Active Directory Hardening
▪ Microsoft Identity Manager
▪ CyberSecurity des OS
▪ Gestion des privilèges
▪ Identité dans le Cloud
6. Active Directory
Identity Days 2019
24 octobre 2019 - PARIS
Pw : wifi.esm
Active Directory est au centre de tout et contrôle énormément d’éléments de votre infrastructure, même dans le cloud !
8. Active Directory – quelques attaques connues
Identity Days 2019
24 octobre 2019 - PARIS
N O R S K H Y D R O
M a r c h 2 0 1 9
S O N Y
N o v e m b e r 2 0 1 4
T A R G E T
D e c e m b e r 2 0 1 3
C A R B A N A K
F e b r u a r y 2 0 1 5
A U R O R A
J a n u a r y 2 0 1 0
B A L T I M O R E
J u n e 2 0 1 9
S I N G H E A L T H
O c t o b e r 2 0 1 8
M A E R S K
J u l y 2 0 1 7
9. Les raisons de l’échec
Identity Days 2019
24 octobre 2019 - PARIS
10. Active Directory – Les raisons de l’échec
Identity Days 2019
24 octobre 2019 - PARIS
✓ Mauvaise communication de la part de Microsoft à propos de la sécurité Active Directory –
Tier-model trop tardif – les designs sont donc permissifs
✓ La plupart des designs Active Directory ont plus de 10 ans, mais mettre à jours les
contrôleurs de domaine ne sert strictement à rien ! Il faut revoir le design global !
✓ Depuis 2015, explosion des malwares et efficacité grandissante des groupes réalisant des
APTs: ransomware en deux phases, automatisation de l’élévation de privilèges, etc.
✓ La couverture d’Active Directory est exceptionnelle pour un attaquant: utilisé dans 96% des
organisations de plus de 50 workstations
✓ La sécurité s’érode avec le temps, de plus la nature ubiquitaire d’Active Directory et le
principe de réplication multi-maitres fragilisent les organisations qui n’ont pas de solution de
supervision du changement
11. C’est quoi une attaque sur AD ?
Identity Days 2019
24 octobre 2019 - PARIS
12. Attaque sur AD
Identity Days 2019
24 octobre 2019 - PARIS
Privileges lateral movement cycle
[weeks]
Privileges lateral
movement cycle
[months]
13. Attaque sur AD
Identity Days 2019
24 octobre 2019 - PARIS
Access:
Workstations
Power:
Controlleurs de
domaine
Data:
Serveurs membres
et applications
1. Attaque sur une workstation (phishing, browser exploit,
PDF, Java)
2. Une workstation est compromise, l’attaquant utilise
l’escalade de privilèges et récupère des hashs de mots de
passe, des tickets en mémoire, des mots de passe de
comptes de service, etc.
3. L’attaquant réalise du mouvement latéral
4. L’attaquant aura accès à un compte à privilège utilisé sur
une workstation ou sur un serveur membre (Un compte
Administrateur du domaine par exemple)
5. Let’s play, baby !
Attaquant = Individu ou Malware
14. Attaque sur AD
De A à D
Identity Days 2019
24 octobre 2019 - PARIS
Insider
Threats
External Threats
Privileged
Escalation
Lateral
Movement
Data
Breach
Etape B:
Attaquer sur la
workstation et
devenir
administrateur
local
B
Etape C: Explorer
le réseau et
Active Directory
C
Etape D:
Contrôler Active
Directory
D
Réseau local ou Cloud IaaS
Etape A: Accéder
à une
workstation:
phishing, accès
physique, etc.
A
16. Environnement de démonstration
Identity Days 2019
24 octobre 2019 - PARIS
Windows2019 [AD] Windows2020 [AD]
Administrateurs
du domaine
HelpDesk
Utilisateurs du
domaine
win2012R2US03 win2016US02
WINCLI01 WINCLI02
ADMIN
ADMIN
ADMIN
ADMIN
REGULAR
USER
Domainewin2019.priv
23. Recommandations
Identity Days 2019
24 octobre 2019 - PARIS
Outil de sanity check
AD et traçabilité des
changements AD
Solution de gestion des privilèges
Activer une authentification
MFA pour TOUS les comptes
Domain admins
24. Recommandations
Identity Days 2019
24 octobre 2019 - PARIS
Pratiquez et pratiquez encore –
Prenez le temps !
Knowledge,
knowledge,
knowledge.
Version non digitale des informations
importantes pour une situation de crise:
numéro de téléphone, adresses IP,
certains mots de passe, etc.