Tenable Identity Exposure vous permet de sécuriser votre infrastructure en anticipant les menaces, en détectant les violations et en répondant aux incidents et aux attaques. Grâce à un tableau de bord intuitif qui permet de surveiller Active Directory en temps réel, vous pouvez identifier d'un coup d'œil les vulnérabilités les plus critiques et les mesures de remédiation recommandées. Les indicateurs d'attaque et les indicateurs d'exposition de Tenable Identity Exposure vous permettent de découvrir les problèmes sous-jacents qui affectent votre Active Directory, d'identifier les relations de confiance dangereuses et d'analyser en profondeur les information des attaques.
DCShadow est une autre attaque de stade avancé de la "kill chain" qui permet à un attaquant disposant d'informations d'authentification privilégiées d'enregistrer un contrôleur de domaine non autorisé afin de pousser les modifications vers un domaine via le mécanisme de réplication.
Un transfert de zone DNS est une fonctionnalité légitime pour répliquer une zone DNS d'un serveur DNS primaire vers un serveur secondaire, par l'intermédiaire d'une requête de type AXFR. Cependant, les attaquants utilisent souvent ce mécanisme durant la phase de reconnaissance afin de récupérer tous les enregistrements DNS, permettant ainsi d'obtenir de nombreuses informations utiles pour attaquer l'environnement. En particulier, un transfert de zone DNS réussi peut permettre à un attaquant d'obtenir des informations à propos des ordinateurs listés dans la zone DNS et comment y accéder, ainsi que de deviner leurs rôles. Les transferts de zone échoués (ex: droits insuffisants, transfert de zone non configuré sur le serveur, etc.) sont également détectés.
Les membres du groupe local Administrateurs ont été énumérés avec l'interface RPC SAMR, très probablement avec BloodHound/SharpHound.
La vulnérabilité nommée Zerologon est liée à une vulnérabilité critique (CVE-2020-1472) dans Windows Server ayant reçu un score CVSS de 10.0 par Microsoft. Elle consiste en une élévation de privilèges qui existe lorsqu'un attaquant établit une connexion vulnérable sur le canal sécurisé Netlogon sur un contrôleur de domaine, en utilisant le protocole à distance Netlogon (MS-NRPC). Cette vulnérabilité permet à des attaquants de compromettre un domaine et de se donner les privilèges d'administration du domaine.
La faille de sécurité critique CVE-2020-1472, nommée Zerologon, est une attaque qui exploite une faille de cryptographie dans le protocole Netlogon, permettant à un attaquant d'établir un Netlogon canal sécurisé avec un contrôleur de domaine depuis n'importe quel ordinateur. À partir de là, plusieurs techniques de post-exploitation peuvent être utilisées pour obtenir une élévation de privilèges, telles que le changement de mot de passe du compte du contrôleur de domaine, l'authentification forcée, les attaques DCSync, et autres. L'exploit ZeroLogon est souvent confondu avec les activités de post-exploitation utilisant le véritable contournement d'authentification falsifié Netlogon (traité par l'IOA 'Exploitation Zerologon'). Cet indicateur se concentre sur l'une des activités de post-exploitation pouvant être utilisées conjointement avec la vulnérabilité Netlogon : la modification du mot de passe du compte machine du contrôleur de domaine.
Une fois qu'un utilisateur s'est connecté, les attaquants peuvent tenter d'accéder aux informations d'authentification stockées dans la mémoire de processus "Local Security Authority Subsystem Service" (LSASS).
La CVE-2021-42287 critique peut entraîner une élévation de privilèges sur le domaine à partir d'un compte standard. La faille est due à un mauvais traitement des demandes qui ciblent un objet doté d'un attribut sAMAccountName non-existant. Le contrôleur de domaine ajoute automatiquement un signe dollar ($) à la valeur sAMAccountName si cette dernière est inexistante, ce qui peut conduire à l'emprunt d'identité du compte machine ciblé.
Une attaque par exfiltration NTDS consiste en l'extraction, par un attaquant, d'une copie de la base de données NTDS.dit. Ce fichier stocke des secrets Active Directory comme des empreintes de mots de passe et des clés Kerberos. Une fois qu'il y a eu accès, l'attaquant analyse hors ligne une copie de ce fichier, en fournissant une alternative aux attaques DCSync pour récupérer le contenu sensible d'Active Directory.
La pulvérisation de mots de passe est une attaque qui tente d'accéder à un grand nombre de comptes (noms d'utilisateur) avec quelques mots de passe couramment utilisés - également connus sous le nom de méthode "faible et lente"
L'outil PetitPotam peut être utilisé afin de forcer l'authentification de la machine cible vers un système distant, généralement dans le but de réaliser une attaque de type relais NTLM. Si PetitPotam cible un contrôleur de domaine, un attaquant peut relayer l'authentification vers un autre machine du réseau afin de s'y connecter avec les plus hauts privilèges.
Affiche les mauvaises configurations potentielles des comptes de service du domaine.
Vérifie qu'aucun utilisateur, ordinateur ou groupe n'est dupliqué (en conflit).
Détecte les portes dérobées et les mauvaises configurations de Shadow Credentials dans la fonctionnalité « Windows Hello Entreprise » et les identifiants de clé associés.
Vérifie que le compte invité intégré est désactivé.
Garantit que les comptes de service administrés (MSAs) sont déployés et correctement configurés.
Vérifie que les comptes utilisateurs privilégiés Active Directory ne sont pas synchronisés avec Microsoft Entra ID.
Un guide étape par étape sur la configuration d'un silo d'authentification pour les comptes privilégiés (Tier-0).
Vérifie que la configuration du serveur DNS interdit les mises à jour de zones DNS dynamiques non sécurisées.
Liste les paramètres mal configurés liés au service de mise à jour de Windows (WSUS).
Vérifie l'intégrité des property sets et valide les autorisations positionnées