Quelqu'un peut faire beaucoup de mal s'il accède à vos données autant que vous. C'est ce qui rend ce type d'attaque si effrayant.
Les progrès de la cybersécurité permettent aux systèmes de surveillance des menaces de détecter les activités inhabituelles des criminels. Pour battre ces outils, les intrus exploitent désormais le statut légitime et les privilèges d'accès des utilisateurs autorisés à des fins malveillantes.
Un pirate informatique peut avoir un accès illimité à vos données sans soulever de poussière en lançant une attaque golden ticket. Ce faisant, ils ont pratiquement les mêmes droits d'accès que vous. C'est trop risqué pour les attaquants d'avoir un tel pouvoir, vous ne pensez pas? Voici comment les arrêter.
Qu'est-ce qu'une attaque Golden Ticket?
Dans ce contexte, un golden ticket signifie un accès illimité. Un criminel avec le ticket peut interagir avec tous les composants de votre compte, y compris vos données, applications, fichiers, etc. Une attaque par ticket d'or est l'accès illimité qu'un attaquant obtient pour compromettre votre réseau. Il n'y a pas de limite à ce qu'ils peuvent faire.
Comment fonctionne une attaque Golden Ticket?
Active Directory (AD) est une initiative de Microsoft pour gérer les réseaux de domaine. Il dispose d'un centre de distribution de clés Kerberos (KDC) désigné, un protocole d'authentification permettant de vérifier la légitimité des utilisateurs. Le KDC sécurise l'AD en générant et en distribuant un ticket d'octroi de ticket (TGT) unique aux utilisateurs autorisés. Ce ticket crypté empêche les utilisateurs d'effectuer des activités nuisibles sur le réseau et limite leur session de navigation à une durée spécifique, généralement pas plus de 10 heures.
Lorsque vous créez un domaine dans AD, vous obtenez automatiquement un compte KRBTGT. Les auteurs d'attaques Golden Ticket compromettent les données de votre compte pour manipuler le contrôleur de domaine d'AD de la manière suivante.
Collecter des informations
L'attaquant Golden ticker commence par collecter des informations sur votre compte, en particulier son nom de domaine complet (FQDN), son identifiant de sécurité et son hachage de mot de passe. Ils pourraient utiliser des techniques de phishing pour collecter vos données, ou mieux encore, infecter votre appareil avec des logiciels malveillants et les récupérer eux-mêmes. Ils peuvent opter pour la force brute dans le processus de collecte d'informations.
Forger des billets
L'auteur de la menace peut être en mesure de voir vos données Active Directory lorsqu'il accède à votre compte avec vos identifiants de connexion, mais il ne peut pas effectuer d'activités à ce stade. Ils doivent générer des tickets légitimes pour votre contrôleur de domaine. Le KDC crypte tous les tickets qu'il génère avec son hachage de mot de passe KRBTGT, donc l'imposteur doit faire de même soit en volant le fichier NTDS.DIT, en lançant une attaque DCSync ou en exploitant les vulnérabilités du points de terminaison.
Conserver un accès à long terme
Étant donné que l'obtention du hachage du mot de passe KRBTGT donne au criminel un accès illimité à votre système, il l'utilise au maximum. Ils ne sont pas pressés de partir mais restent en arrière-plan, compromettant vos données. Ils peuvent même se faire passer pour des utilisateurs disposant des privilèges d'accès les plus élevés sans éveiller les soupçons.
5 façons d'empêcher une attaque Golden Ticket
Les attaques Golden Ticket se classent parmi les cyberattaques les plus dangereuses en raison de la liberté de l'intrus d'effectuer diverses activités. Vous pouvez réduire leur occurrence au strict minimum avec les mesures de cybersécurité suivantes.
1. Gardez les informations d'identification de l'administrateur privées
Comme la plupart des autres attaques, une attaque golden ticket dépend de la capacité du criminel à récupérer les informations d'identification sensibles du compte. Sécurisez les données clés en limitant le nombre de personnes pouvant y accéder.
Les informations d'identification les plus précieuses se trouvent sur les comptes des utilisateurs administrateurs. En tant qu'administrateur réseau, vous devez limiter au minimum vos privilèges d'accès. Votre système est plus à risque lorsque plus de personnes ont accès aux privilèges d'administrateur.
2. Identifiez et résistez aux tentatives d'hameçonnage
La sécurisation des privilèges d'administrateur est l'un des moyens de prévenir le vol d'identifiants. Si vous bloquez cette fenêtre, les pirates auront recours à d'autres méthodes telles que les attaques de phishing. Le phishing est plus psychologique que technique, vous devez donc être préparé mentalement à l'avance pour le détecter.
Familiarisez-vous avec les différentes techniques et scénarios de phishing. Plus important encore, méfiez-vous des messages provenant d'étrangers cherchant des informations personnellement identifiables sur vous ou votre compte. Certains criminels ne vous demanderont pas directement vos informations d'identification, mais vous enverront des e-mails, des liens ou des pièces jointes infectés. Si vous ne pouvez garantir aucun contenu, ne l'ouvrez pas.
3. Sécurisez les répertoires actifs avec la sécurité Zero Trust
Les informations importantes dont les pirates ont besoin pour exécuter des attaques Golden Ticket se trouvent dans vos répertoires actifs. Malheureusement, des vulnérabilités peuvent survenir à tout moment dans vos terminaux et persister avant que vous ne les remarquiez. Mais l'existence de vulnérabilités ne nuit pas nécessairement à votre système. Ils deviennent nuisibles lorsque des intrus les identifient et les exploitent.
Vous ne pouvez pas garantir que les utilisateurs ne se livrent pas à des activités qui compromettraient vos données. Mettre en œuvre la sécurité zéro confiance pour gérer les risques de sécurité des personnes qui visitent votre réseau, quel que soit leur poste ou leur statut. Considérez chaque personne comme une menace car ses actions peuvent mettre en danger vos données.
4. Changez régulièrement le mot de passe de votre compte KRBTGT
Le mot de passe de votre compte KRBTGT est le ticket d'or de l'attaquant pour accéder à votre réseau. La sécurisation de votre mot de passe crée une barrière entre eux et votre compte. Disons qu'un criminel est déjà entré dans votre système après avoir récupéré votre hachage de mot de passe. Leur durée de vie dépend de la validité du mot de passe. Si vous le modifiez, ils ne pourront pas fonctionner.
Vous avez tendance à ignorer la présence d'attaquants Golden Threat dans votre système. Prenez l'habitude de changer votre mot de passe régulièrement même si vous ne soupçonnez pas une attaque. Cet acte unique révoque les privilèges d'accès des utilisateurs non autorisés qui ont déjà accès à votre compte.
Microsoft conseille spécifiquement aux utilisateurs de changer régulièrement les mots de passe de leur compte KRBTGT pour éloigner les criminels ayant un accès non autorisé.
5. Adoptez la surveillance des menaces humaines
La recherche active de menaces dans votre système est l'un des moyens les plus efficaces de détecter et de contenir les attaques golden ticket. Ces attaques sont non invasives et s'exécutent en arrière-plan, de sorte que vous n'êtes peut-être pas au courant d'une brèche, car les choses peuvent sembler normales en surface.
Le succès des attaques Golden Ticket réside dans la capacité du criminel à agir comme un utilisateur autorisé, en tirant parti de son privilège d'accès. Cela signifie que les dispositifs automatisés de surveillance des menaces peuvent ne pas détecter leurs activités car elles ne sont pas inhabituelles. Vous avez besoin de compétences humaines en matière de surveillance des menaces pour les détecter. Et c'est parce que les humains ont le sixième sens pour identifier les activités suspectes même lorsque l'intrus prétend être légitime.
Sécurisez les informations d'identification sensibles contre les attaques Golden Ticket
Les cybercriminels n'auraient pas un accès illimité à votre compte dans le cadre d'une attaque au ticket d'or sans défaillance de votre part. Dans la mesure où des vulnérabilités imprévues surviennent, vous pouvez mettre en place des mesures pour les atténuer à l'avance.
La sécurisation de vos informations d'identification essentielles, en particulier le hachage du mot de passe de votre compte KRBTGT, laisse aux intrus des options très limitées pour pirater votre compte. Vous avez le contrôle sur votre réseau par défaut. Les attaquants comptent sur votre négligence en matière de sécurité pour prospérer. Ne leur donnez pas l'occasion.
