Indicateurs

Un nombre conséquent de requêtes d'authentification sur de multiples machines, en utilisant les protocoles NTLM ou Kerberos et provenant de la même source, peut être une indication d'une attaque, probablement avec BloodHound/SharpHound.

La faille de sécurité critique CVE-2020-1472, nommée Zerologon, est une attaque qui exploite une faille de cryptographie dans le protocole Netlogon, permettant à un attaquant d'établir un Netlogon canal sécurisé avec un contrôleur de domaine depuis n'importe quel ordinateur. À partir de là, plusieurs techniques de post-exploitation peuvent être utilisées pour obtenir une élévation de privilèges, telles que le changement de mot de passe du compte du contrôleur de domaine, l'authentification forcée, les attaques DCSync, et autres. L'exploit ZeroLogon est souvent confondu avec les activités de post-exploitation utilisant le véritable contournement d'authentification falsifié Netlogon (traité par l'IOA 'Exploitation Zerologon'). Cet indicateur se concentre sur l'une des activités de post-exploitation pouvant être utilisées conjointement avec la vulnérabilité Netlogon : la modification du mot de passe du compte machine du contrôleur de domaine.

Une attaque Golden Ticket est un type d'attaque dans lequel un adversaire prend le contrôle du compte de service de distribution de clés Active Directory (KRBTGT) et utilise ce compte pour créer des tickets distributeurs de tickets Kerberos (TGTs) valides.

DCShadow est une autre attaque de stade avancé de la « kill chain » qui permet à un attaquant disposant d'identifiants privilégiés d'enregistrer un contrôleur de domaine non autorisé afin de pousser des modifications arbitraires vers un domaine via le mécanisme de réplication (par exemple, en appliquant des valeurs sidHistory interdites).

L'exploitation DNSAdmins est une attaque qui permet aux membres du groupe DNSAdmins de compromettre un contrôleur de domaine sur lequel s'exécute le service MicrosoftDNS. Un membre du groupe DNSAdmins a les droits pour effectuer des tâches d'administration sur le service DNS d'Active Directory. Des attaquants peuvent abuser de ces droits afin d'exécuter du code malveillant dans un contexte hautement privilégié.

Les membres du groupe local Administrateurs ont été énumérés avec l'interface RPC SAMR, probablement avec BloodHound/SharpHound.

La commande DCSync de Mimikatz permet à un attaquant de se faire passer pour un contrôleur de domaine et de récupérer des empreintes de mots de passe et clés de chiffrement depuis d'autres contrôleurs de domaine, sans exécuter de code sur la cible.

La pulvérisation de mots de passe est une attaque qui tente d'accéder à un grand nombre de comptes (noms d'utilisateur) avec quelques mots de passe couramment utilisés - également connus sous le nom de méthode "faible et lente"

L'outil PetitPotam peut être utilisé afin de forcer l'authentification de la machine cible vers un système distant, généralement dans le but de réaliser une attaque de type relais NTLM. Si PetitPotam cible un contrôleur de domaine, un attaquant peut relayer l'authentification vers un autre machine du réseau afin de s'y connecter avec les plus hauts privilèges.

Une fois qu'un utilisateur s'est connecté, les attaquants peuvent tenter d'accéder aux informations d'authentification stockées dans la mémoire de processus "Local Security Authority Subsystem Service" (LSASS).

Les clés de sauvegarde DPAPI du domaine sont un aspect essentiel du recouvrement de secrets DPAPI. Une large proportion d'outils d'attaque se focalisent sur la récupération de ces clés sur les contrôleurs de domaine, en utilisant des appels LSARPC. Microsoft reconnaît qu'il n'existe pas de méthode prise en charge pour renouveler ou changer ces clés. Donc si les clés de sauvegarde DPAPI du domaine sont compromises, ils recommandent de créer un nouveau domaine à partir de zéro ce qui est une opération longue et coûteuse.

Une attaque de mot de passe par force brute consiste à soumettre de nombreux mots de passe ou phrases de passe dans l'espoir de le deviner. L'attaquant vérifie systématiquement tous les mots de passe et phrases de passe possibles jusqu'à ce que le bon soit trouvé.

Une attaque Kerberoasting consiste en ce qu'un attaquant demande des tickets de service Kerberos dans l'objectif d'effectuer ultérieurement une attaque hors ligne par force brute à l'encontre de certains éléments techniques chiffrés de ces tickets de service. Ces éléments étant chiffrés grâce aux mots de passe des comptes de service ciblés, si la complexité de ces mots de passe est trop faible, ils peuvent être dévinés par l'attaquant. Afin d'être totalement fonctionnel, l'indicateur d'attaque Kerberoasting nécessite que la fonctionnalité Honey Account de Tenable Identity Exposure puisse envoyer une alerte lorsqu'une tentative de connexion a lieu sur le compte ou lorsque le compte reçoit une demande de ticket.

Une attaque par exfiltration NTDS consiste en l'extraction, par un attaquant, d'une copie de la base de données NTDS.dit. Ce fichier stocke des secrets Active Directory comme des empreintes de mots de passe et des clés Kerberos. Une fois qu'il y a eu accès, l'attaquant analyse hors ligne une copie de ce fichier, en fournissant une alternative aux attaques DCSync pour récupérer le contenu sensible d'Active Directory.

La CVE-2021-42287 critique peut entraîner une élévation de privilèges sur le domaine à partir d'un compte standard. La faille est due à un mauvais traitement des demandes qui ciblent un objet doté d'un attribut sAMAccountName non-existant. Le contrôleur de domaine ajoute automatiquement un signe dollar ($) à la valeur sAMAccountName si cette dernière est inexistante, ce qui peut conduire à l'emprunt d'identité du compte machine ciblé.

Une attaque Kerberoasting consiste en ce qu'un attaquant demande des tickets de service Kerberos dans l'objectif d'effectuer ultérieurement une attaque hors ligne par force brute à l'encontre de certains éléments techniques chiffrés de ces tickets de service. Ces éléments étant chiffrés grâce aux mots de passe des comptes de service ciblés, si la complexité de ces mots de passe est trop faible, ils peuvent être dévinés par l'attaquant. La méthode classique de l'attaque Kerberoasting est couverte par l'IOA Kerberoasting. Comme mentionné dans le nom de l'indicateur, il existe une autre façon d'executer une attaque Kerberoasting, avec une approche furtive qui pourrait contourner un grand nombre de détections. Les attaquants avancés peuvent privilégier cette méthode pour espérer rester invisible auprès de la plupart des heuristiques de détection.

La vulnérabilité nommée Zerologon est liée à une vulnérabilité critique (CVE-2020-1472) dans Windows Server ayant reçu un score CVSS de 10.0 par Microsoft. Elle consiste en une élévation de privilèges qui existe lorsqu'un attaquant établit une connexion vulnérable sur le canal sécurisé Netlogon sur un contrôleur de domaine, en utilisant le protocole à distance Netlogon (MS-NRPC). Cette vulnérabilité permet à des attaquants de compromettre un domaine et de se donner les privilèges d'administration du domaine.

Détecte les objets dynamiques et la configuration non sécurisée associée.

BadSuccessor est une faille d'élévation de privilèges Active Directory dans Windows Server 2025 qui exploite les dMSA et permet aux attaquants de manipuler les liens de comptes et, potentiellement, de compromettre le domaine.

Vérifie qu'aucun groupe n'est vide ou ne contient qu'un seul membre.

Identifiez les autorisations potentiellement laxistes qui impactent les ressources Exchange ou sont attribuées à des groupes Exchange.

Détecte les serveurs Exchange obsolètes que Microsoft ne prend plus en charge, ainsi que ceux qui ne disposent pas des dernières mises à jour cumulées.

Répertorie les mauvaises configurations qui impactent les ressources Exchange ou les objets sous-jacents du schéma Active Directory.

Collecte des informations telles que les utilisateurs et les ordinateurs hybrides auprès de l'environnement Active Directory sur site, au sujet des ressources synchronisées avec Microsoft Entra ID.

Comptes inhabituels dans des groupes Exchange sensibles

Affiche les mauvaises configurations potentielles des comptes de service du domaine.

Vérifie qu'aucun utilisateur, ordinateur ou groupe n'est dupliqué (en conflit).

Détecte les portes dérobées et les mauvaises configurations de Shadow Credentials dans la fonctionnalité « Windows Hello Entreprise » et les identifiants de clé associés.

Vérifie que le compte invité intégré est désactivé.

Garantit que les comptes de service administrés (MSAs) sont déployés et correctement configurés.

Vérifie que les comptes utilisateurs privilégiés Active Directory ne sont pas synchronisés avec Microsoft Entra ID.

Un guide étape par étape sur la configuration d'un silo d'authentification pour les comptes privilégiés (Tier-0).

Vérifie que la configuration du serveur DNS interdit les mises à jour de zones DNS dynamiques non sécurisées.

Liste les paramètres mal configurés liés au service de mise à jour de Windows (WSUS).

Vérifie l'intégrité des property sets et valide les autorisations positionnées

Vérifie que le mécanisme "File Replication Service" (FRS) a été remplacé par "Distributed File System Replication" (DFS-R).

Vérifie l'absence de faiblesses dans les mots de passe susceptibles d'accroître la vulnérabilité des comptes Active Directory.

S'assure que les mesures de durcissement pour contrer les ransomwares ont été correctement déployées sur le domaine.

Liste les autorisations dangereuses et les paramètres mal configurés liés à l'infrastructure à clés publiques (PKI) de Active Directory Certificate Services (AD CS).

Vérifie que les GPO s'appliquant aux ordinateurs du domaine sont intègres.

Les utilisateurs avec privilèges peuvent se connecter à des machines moins privilégiées, risquant ainsi de se faire dérober leurs identifiants.

La CVE-2020-1472 ("Zerologon") affecte le protocole Netlogon et permet une élévation de privilèges.

Des attributs liés au "Credential roaming" non protégés sont accessibles à des utilisateurs non privilégiés, ce qui peut mener à des fuites d'information ou la perte d'accès à des données sensibles.

Certains mots de passe semblent lisibles pour les utilisateurs du domaine.

Des privilèges sensibles mal configurés peuvent porter atteinte à la sécurité de l'infrastructure AD.

S'assure qu'aucun mappage de certificat faible n'est assigné à des objets.

Vérifie que des GPO de durcissement ont été déployées sur le domaine.

Des utilisateurs privilégiés ne sont pas présents dans le groupe « Protected Users ».

Identifie les comptes utilisateur pouvant avoir un mot de passe vide.

Vérifie que les utilisateurs sans privilèges ne peuvent joindre des ordinateurs externes au domaine.

Le mot de passe du compte Microsoft Entra Seamless SSO doit être modifié régulièrement.

Liste les entrées anormales dans le schéma qui peuvent fournir un mécanisme de persistence.

Vérifie que des mises à jour ont lieu régulièrement sur les mots de passe de comptes actifs dans Active Directory afin de réduire les vols d'identités.

S'assure que les autorisations définies sur les comptes Microsoft Entra Connect sont saines.

Certains contrôleurs de domaine peuvent être gérés par des utilisateurs non-administrateurs en raison de droits d'accès dangereux.

Certaines stratégies de mots de passe appliquées à des comptes utilisateur spécifiques ne sont pas assez robustes et peuvent faciliter le vol d'informations d'authentification.

Vérifie que les autorisations sur les objets et les fichiers GPO qui sont liés à des conteneurs sensibles (tels que les OU Contrôleurs de domaine) sont sains.

L'attribut dsHeuristics peut modifier le comportement d'AD mais certains champs sont sensibles et posent un risque de sécurité.

Un niveau fonctionnel obsolète empêche l'utilisation de fonctionnalités avancées ou d'améliorations récentes.

Vérifie que les comptes d'administration locaux sont gérés de manière centralisée et sécurisée à l'aide de LAPS.

Certains comptes utilisent une configuration Kerberos dangereuse.

Recherche des autorisations laxistes à la racine du domaine qui permettent des attaques favorisant le vol de secrets d'authentification.

Les comptes qui sont membres du groupe Accès compatible pré-Windows 2000 peuvent contourner des mesures de sécurité spécifiques.

Les comptes inutilisés doivent être supprimés des groupes disposant de privilèges élevés.

Les systèmes d'exploitation obsolètes ne sont plus supportés par leur éditeur et augmentent grandement la vulnérabilité de l'infrastructure.

Vérifie les comptes utilisateur et machine utilisant un SID privilégié dans l'attribut SID history.

Les certificats racines déployés ne doivent pas utiliser d'algorithmes de chiffrement faibles dans la PKI de l'Active Directory.