Faiblesses détectées lors de l'analyse des mots de passe des comptes Active Directory

high

Langue :

Description

De nombreux problèmes peuvent survenir avec les mots de passe des comptes Active Directory (complexité insuffisante, chiffrement obsolète, mot de passe vide, réutilisé ou divulgué...), ayant pour effet de diminuer la sécurité d'Active Directory en autorisant les attaques « par force brute », « pulvérisation de mot de passe » et « mouvement latéral ».

Solution

Plusieurs bonnes pratiques d'administration concernant les mots de passe des utilisateurs du domaine doivent être mises en place.Ces derniers doivent être robustes et uniques. Un mot de passe avec une valeur par défaut est également considéré comme faible dès lors qu'il demeure inchangé et concerne des comptes pouvant s'authentifier sur le domaine.En outre, un algorithme de hachage robuste doit être utilisé pour le stockage des mots de passe Windows.

Voir aussi

The 773 Million Record "Collection #1" Data Breach

The Default Password Threat

Comment empêcher Windows de stocker un hachage de votre mot de passe dans Active Directory et les bases de données SAM locales

Détails de l'indicateur

Nom: Faiblesses détectées lors de l'analyse des mots de passe des comptes Active Directory

Nom de code: C-PASSWORD-HASHES-ANALYSIS

Sévérité: High

Type: Active Directory Indicator of Exposure

Informations MITRE ATT&CK:

Tactique: TA0001 - Initial Access
- Techniques: T1078 - Valid Accounts
Tactique: TA0004 - Privilege Escalation
- Techniques: T1078 - Valid Accounts
Tactique: TA0006 - Credential Access
- Techniques: T1110 - Brute Force

Outils connus des attaquants

ropnop: Kerbrute - A tool to quickly bruteforce and enumerate valid Active Directory accounts through Kerberos Pre-Authentication

OpenWall: John the Ripper - A fast password cracker

Jens Steube, Gabriele Gristina: hashcat - advanced password recovery tool