Indicateurs Tenable.ad

Un transfert de zone DNS est une fonctionnalité légitime pour répliquer une zone DNS d'un serveur DNS primaire vers un serveur secondaire, par l'intermédiaire d'une requête de type AXFR. Cependant, les attaquants utilisent souvent ce mécanisme durant la phase de reconnaissance afin de récupérer tous les enregistrements DNS, permettant ainsi d'obtenir de nombreuses informations utiles pour attaquer l'environnement. En particulier, un transfert de zone DNS réussi peut permettre à un attaquant d'obtenir des informations à propos des machines listées dans la zone DNS et comment y accéder, ainsi que de deviner leurs rôles. Les transferts de zone échoués (ex: droits insuffisants, transfert de zone non configuré sur le serveur, etc.) sont également détectés.

La faille de sécurité critique CVE-2020-1472, nommée Zerologon, est une attaque qui exploite une faille de cryptographie dans le protocole Netlogon, permettant à un attaquant d'établir un Netlogon canal sécurisé Netlogon avec un contrôleur de domaine depuis n'importe quel ordinateur. À partir de là, plusieurs techniques de post-exploitation peuvent être utilisées pour obtenir une élévation de privilèges, telles que le changement de mot de passe du compte du contrôleur de domaine, l'authentification forcée, les attaques DCSync, et autres. L'exploit ZeroLogon est souvent confondu avec les activités de post-exploitation utilisant le véritable contournement d'authentification falsifié Netlogon (traité par l'IOA 'Exploitation Zerologon'). Cet indicateur se concentre sur une des activités de post-exploitation pouvant être utilisées conjointement avec la vulnérabilité Netlogon : la modification du mot du passe du compte machine du contrôleur de domaine.

La vulnérabilité nommée Zerologon est liée à une vulnérabilité critique (CVE-2020-1472) dans Windows Server ayant reçu un score CVSS de 10.0 par Microsoft. Elle consiste en une élévation de privilèges qui existe lorsqu'un attaquant établit une connexion vulnérable sur le canal sécurisé Netlogon sur un contrôleur de domaine, en utilisant le protocole à distance Netlogon (MS-NRPC). Cette vulnérabilité permet à des attaquants de compromettre un domaine et de se donner les privilèges d'administration du domaine.

Une attaque Kerberoasting consiste en ce qu'un attaquant requête des tickets de service Kerberos dans l'objectif d'effectuer ultérieurement une attaque hors ligne par force brute à l'encontre de certains éléments techniques chiffrés de ces tickets de service. Ces éléments étant chiffrés grâce aux mots de passe des comptes de service ciblés, si la complexité de ces mots de passe est trop faible, ils peuvent être dévinés par l'attaquant. La méthode classique de l'attaque Kerberoasting est couverte par l'IOA Kerberoasting. Comme mentionné dans le nom de l'indicateur, il existe une autre façon d'executer une attaque Kerberoasting, avec une approche furtive qui pourrait contourner un grand nombre de détections. Les attaquants avancés peuvent privilégier cette méthode pour espérer rester invisible auprès de la plupart des heuristiques de détection.

L'exploitation DNSAdmins est une attaque qui permet aux membres du groupe DNSAdmins de compromettre un contrôleur de domaine sur lequel s'exécute le service Microsoft DNS. Un membre du groupe DNSAdmins a les droits pour effectuer des tâches d'administration sur ce service DNS. Des attaquants peuvent abuser de ces droits afin d'exécuter du code malveillant dans un contexte hautement privilégié.

Les clés de sauvegarde DPAPI du domaine sont un aspect essentiel du recouvrement de secrets DPAPI. Une large proportion d'outils d'attaque se focalisent sur la récupération de ces clés sur les contrôleurs de domaine, en utilisant des appels RPC LSA.

La CVE critique CVE-2021-42287 a pour conséquence une élévation de privilèges sur le domaine Active Directory à partir d'un compte standard. Le contrôleur de domaine ajoute automatiquement un signe dollar ($) à la valeur sAMAccountName si cette dernière est inexistante, ce qui peut conduire à l'usurpation d'identité du compte machine ciblé.

Une attaque par extraction NTDS consiste en l'exfiltration, par un attaquant privilégié, d'une copie de la base de données du domaine Active Directory, cette dernière représentée par le fichier NTDS.dit local à un contrôleur du domaine. Les attaquants peuvent tenter d'accéder directement à une sauvegarde existante du fichier NTDS.dit, ou à en créer une nouvelle à des fins de vol d'identifiants, et plus globalement de toute information sensible concernant le domaine Active Directory (utilisateurs, périphériques ou droits d'accès).

Une attaque Kerberoasting consiste en ce qu'un attaquant requête des tickets de service Kerberos dans l'objectif d'effectuer ultérieurement une attaque hors ligne par force brute à l'encontre de certains éléments techniques chiffrés de ces tickets de service. Ces éléments étant chiffrés grâce aux mots de passe des comptes de service ciblés, si la complexité de ces mots de passe est trop faible, ils peuvent être dévinés par l'attaquant. Afin d'être totalement fonctionnel, cet indicateur nécessite que la solution T.ad possède un compte "pot de miel" correctement configuré pour chaque domaine supervisé.

Un nombre conséquent de requêtes d'authentification sur de multiples machines, en utilisant les protocoles NTLM ou Kerberos et provenant de la même source, peut être une indication d'une attaque.

S'assurer que les mesures de durcissement pour contrer les rançongiciels ont été correctement déployées sur le domaine.

Liste les permissions dangereuses et les paramètres mal configurés liés à l'Infrastructure de Gestion de Clés (IGC / PKI) de Windows.

Vérifie que les GPO s'appliquant aux ordinateurs du domaine sont intègres.

Les utilisateurs à privilèges peuvent se connecter à des machines moins privilégiées, risquant ainsi de se faire dérober leurs informations d'identification.

La CVE-2020-1472 ("Zerologon") affecte le protocole Netlogon et permet une élévation de privilèges.

Des attributs liés au "Credential roaming" non protégés sont accessibles à des utilisateurs non privilégiés, ce qui peut mener à des fuites d'information ou la perte d'accès à des données sensibles.

Certains mots de passe semblent lisibles pour les utilisateurs du domaine

Des privilèges sensibles mal configurés peuvent porter atteinte à la sécurité de l'infrastructure AD.

S'assurer qu'aucun certificat n'est associé à des objets privilégiés.

Vérifie que des GPO de Durcissement ont été Déployée sur le Domaine.