Tenable Identity Exposure

Comptes à privilèges exécutant des services Kerberos

Comptes à privilèges élevés utilisant un nom principal de service (SPN) Kerberos accessible par force brute

Kerberom

Élévation de privilèges, mouvement latéral, persistance

Délégation Kerberos dangereuse

Vérifier qu'aucune délégation dangereuse (non contrainte, transition de protocole, etc.) n'est autorisée

Nishang

Élévation de privilèges, mouvement latéral, persistance

Utilisation d'algorithmes de chiffrement dans une infrastructure PKI Active Directory

Les certificats racine déployés dans l'infrastructure PKI Active Directory interne ne doivent pas utiliser d'algorithmes de chiffrement faible

ANSSI-ADCP

Persistance, élévation de privilèges, mouvement latéral

Délégation dangereuse de droits d'accès sur des objets critiques

Certains droits d'accès permettant à des utilisateurs non autorisés de contrôler des objets critiques ont été trouvés

BloodHound

Exfiltration, mouvement latéral, commande et contrôle, accès aux informations d'authentification, élévation de privilèges

Plusieurs problèmes dans la stratégie de mot de passe

Sur certains comptes spécifiques, les stratégies de mot de passe actuelles sont insuffisantes pour assurer une protection robuste des informations d'authentification

Patator

Évasion, mouvement latéral, accès aux informations d'authentification, élévation de privilèges

Comptes dangereux dans la gestion des RODC

Les groupes administratifs chargés des contrôleurs de domaine en lecture seule contiennent des comptes inhabituels

Impacket

Accès aux informations d'authentification, évasion, élévation de privilèges

GPO sensible associée à des objets critiques

Certaines GPO gérées par des comptes non administratifs sont liées à des objets Active Directory sensibles (le compte KDC, contrôleurs de domaine, groupes administratifs, etc.)

ANSSI-ADCP

Commande et contrôle, accès aux informations d'authentification, persistance, élévation de privilèges

Comptes administratifs autorisés à se connecter à d'autres systèmes que les contrôleurs de domaine

Les politiques de sécurité déployées sur l'infrastructure surveillée n'empêchent pas les comptes administratifs de se connecter à des ressources autres que des contrôleurs de domaine, ce qui expose les informations d'authentification sensibles

CrackMapExec

Évasion, accès aux informations d'authentification

Relation de confiance dangereuse

Des attributs de relation de confiance mal configurés diminuent la sécurité d'une infrastructure d'annuaire

Kekeo

Mouvement latéral, accès aux informations d'authentification, élévation de privilèges, évasion

Mot de passe réversible dans une GPO

Vérifier qu'aucune GPO ne contient de mot de passe stocké dans un format réversible

Analyseur de mot de passe SMB

Accès aux informations d'authentification, élévation de privilèges

Ordinateurs exécutant un système d'exploitation obsolète

Les systèmes obsolètes ne sont plus pris en charge par l'éditeur de logiciels et augmentent considérablement la vulnérabilité de l'infrastructure

Metasploit

Mouvement latéral, commande et contrôle

Comptes utilisant un contrôle d'accès compatible pré-Windows 2000

Compte appartenant au groupe Accès compatible avec les versions antérieures à 2000 en mesure de contourner des mesures de sécurité spécifiques

Impacket

Mouvement latéral, évasion

Gestion des comptes administratifs locaux

Garantir que les comptes administratifs locaux sont gérés de façon centralisée et sécurisée en utilisant LAPS

CrackMapExec

Évasion, accès aux informations d'authentification, mouvement latéral

Configuration dangereuse d'utilisateurs anonymes

L'accès anonyme est activé sur l'infrastructure Active Directory surveillée, ce qui entraîne une fuite d'informations sensibles

Impacket

Exfiltration

Attributs filtrés inhabituels sur un RODC

Les politiques de filtrage appliquées à certains contrôleurs de domaines en lecture seule (Read-Only Domain Controllers, RODC) peuvent entraîner la mise en cache d'informations sensibles, permettant ainsi une élévation de privilèges

Mimikatz (DCShadow)

Élévation de privilèges, évasion

Absence de restriction pour les attaques par mouvements latéraux

La restriction de mouvement latéral n'a pas été activée sur l'infrastructure Active Directory surveillée, ce qui permet aux attaquants de passer de machine en machine avec le même niveau de privilèges

CrackMapExec

Mouvement latéral

Mot de passe en clair stocké dans des partages de contrôleur de domaine

Certains fichiers sur des partages de contrôleur de domaine, auxquels peut accéder n'importe quel utilisateur authentifié, sont susceptibles de contenir un mot de passe en clair, permettant ainsi l'élévation de privilèges

SMBSpider

Accès aux informations d'authentification, élévation de privilèges, persistance

Droits de contrôle d'accès dangereux sur des scripts d'ouverture de session

Certains scripts, exécutés lors d'une ouverture de session d'utilisateur ou d'ordinateur, aboutissent à une élévation de privilèges

Metasploit

Mouvement latéral, élévation de privilèges, persistance

Paramètres dangereux utilisés dans une GPO

Certains paramètres dangereux (comme les groupes restreints, le calcul du hachage LM, le niveau d'authentification NTLM, les paramètres sensibles, etc.) sont définis par GPO, ce qui produit des violations de sécurité

Responder

Découverte, accès aux informations d'authentification, exécution, persistance, élévation de privilèges, évasion

Paramètres dangereux définis dans la configuration du Contrôle de compte d'utilisateur

La fonctionnalité Contrôle de compte d'utilisateur de certains comptes d'utilisateur définit des paramètres dangereux (par exemple PASSWD_NOTREQD ou PARTIAL_SECRETS_ACCOUNT), ce qui compromet la sécurité de ces comptes

Mimikatz (LSADump)

Persistence, élévation de privilèges, évasion

Absence d'application de correctifs de sécurité

Un serveur enregistré dans Active Directory n'a pas appliqué de correctifs de sécurité récemment

Metasploit

Élévation de privilèges Commande et contrôle, évasion

Tentative d'attaque par force brute sur des comptes d'utilisateur

Certains comptes d'utilisateur ont été ciblés par une tentative d'attaque par force brute

Patator

Accès aux informations d'authentification

Configuration Kerberos sur des comptes d'utilisateur

Certains comptes utilisent une configuration Kerberos faible

Mimikatz (Silver Ticket)

Accès aux informations d'authentification, élévation de privilèges

Partage ou fichier inhabituel stocké sur le contrôleur de domaine

Certains contrôleurs de domaine sont utilisés pour héberger des fichiers ou des partages réseau qui ne sont pas nécessaires

SMBSpider

Découverte, exfiltration

Fait

Description

Outils offensifs connus

Matrice Mitre Attack

Garantir la cohérence du processus SDProp

S'assurer que l'objet adminSDHolder est sain

Mimikatz (Golden Ticket)

Élévation de privilèges, persistance

Garantir la cohérence du processus SDProp

Vérifier que le groupe principal des utilisateurs n'a pas été changé

BloodHound

Élévation de privilèges, persistance

Vérification des autorisations pour l'objet domaine racine

S'assurer que les autorisations définies sur l'objet domaine racine sont saines

BloodHound

Élévation de privilèges, persistance

Vérification des autorisations pour les fichiers et objets GPO sensibles

S'assurer que les autorisations définies sur les fichiers et objets GPO liés à des conteneurs sensibles (telles que les unités d'organisation des contrôleurs de domaine) sont saines

BloodHound

Exécution, élévation de privilèges, persistance

Droits d'accès dangereux sur le compte KDC d'un RODC

Le compte KDC utilisé sur certains contrôleurs de domaine en lecture seule peut être contrôlé par un compte d'utilisateur non autorisé, entraînant des fuites d'informations d'authentification

Mimikatz (DCSync)

Élévation de privilèges, persistance

Certificats sensibles associés à des comptes d'utilisateur

Certains certificats X509 sont stockés dans l'attribut de compte d'utilisateur altSecurityIdentities, ce qui permet au détenteur de la clé privée d'un certificat de s'authentifier en empruntant l'identité de cet utilisateur

Commande et contrôle, accès aux informations d'authentification, élévation de privilèges, persistance

SPN Krbtgt non autorisé défini sur un compte standard

Le nom principal de service (SPN, Service Principal Name) du KDC est présent sur un compte d'utilisateur standard, ce qui entraîne des falsifications de tickets Kerberos

Mimikatz (Golden Ticket)

Élévation de privilèges, persistance

Dernier changement du mot de passe KDC

Le mot de passe du compte KDC doit être changé régulièrement

Mimikatz (Golden Ticket)

Accès aux informations d'authentification, élévation de privilèges, persistance

Comptes ayant un attribut d'historique SID dangereux

Vérifier les comptes d'utilisateur ou d'ordinateur utilisant un SID avec privilèges dans l'attribut d'historique SID

DeathStar

Élévation de privilèges, persistance

Contrôleurs de domaine non autorisés

Vérifier que seuls les serveurs contrôleurs de domaine légitimes sont enregistrés dans l'infrastructure Active Directory

Mimikatz (DCShadow)

Exécution, évasion, élévation de privilèges, persistance

Contrôle d'accès non autorisés aux clés Bitlocker

Certaines clés de récupération Bitlocker stockées dans Active Directory sont accessibles à d'autres personnes que les administrateurs et les ordinateurs associés

ANSSI-ADCP

Accès aux informations d'authentification, élévation de privilèges, persistance

Entrées inhabituelles dans le descripteur de sécurité Schema

Le schéma Active Directory été modifié, ce qui aboutit à de nouveaux objets ou droit d'accès standard qui peuvent compromettre l'infrastructure surveillée

BloodHound

Élévation de privilèges, persistance

Compte DSRM activé

Le compte de récupération Active Directory a été activé, ce qui l'expose à un vol d'informations d'authentification

Mimikatz (LSADump)

Accès aux informations d'authentification, exécution, évasion, élévation de privilèges, persistance

Hachage d'authentification non renouvelé lors de l'utilisation d'une carte à puce

Certains comptes d'utilisateur ayant recours à l'authentification par carte à puce ne renouvellent pas assez souvent le hachage de leurs informations d'authentification

Mimikatz (LSADump)

Persistance

Mots de passe réversibles pour les comptes d'utilisateur

Vérifier qu'aucun paramètre n'a pour effet de stocker les mots de passe dans un format réversible

Mimikatz (DC Sync)

Accès aux informations d'authentification

Utilisation d'un refus d'accès explicite sur des conteneurs

Certains conteneurs ou unités d'organisation Active Directory définissent un refus d'accès explicite, ce qui peut entraîner un risque de camouflage de porte dérobée

BloodHound

Évasion, persistance