Attaque Kerberos : comment lutter contre un Golden Ticket ?

L’attaque Golden Ticket, découverte par le chercheur en sécurité Benjamin Delpy, donne au hacker un accès total et complet à l’intégralité de votre domaine. Il s’agit d’un Golden Ticket (« ticket d’or »,...
Michael Buckbee
5 minute de lecture
Dernière mise à jour 7 juillet 2023

L’attaque Golden Ticket, découverte par le chercheur en sécurité Benjamin Delpy, donne au hacker un accès total et complet à l’intégralité de votre domaine. Il s’agit d’un Golden Ticket (« ticket d’or », comme dans Charlie et la chocolaterie) permettant d’accéder à TOUS vos ordinateurs, fichiers, dossiers et contrôleurs de domaines (DC) les plus importants.

Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit

Dans certains cas, il se peut que des hackers aient détenu un Golden Ticket pendant plusieurs années, et allez savoir ce qu’ils ont bien pu voler. Ils se sont introduits dans le PC d’un utilisateur, y ont installé mimikatz et le reste appartient à l’histoire.

Comment fonctionne une attaque par Golden Ticket ?

Dans Active Directory, les comptes sont identifiés par un nom d’utilisateur et un mot de passe, ou parfois à partir d’une autre forme d’authentification. L’utilisateur identifié obtient alors un ticket Kerberos qui contient son jeton d’authentification.

Le Golden Ticket est le jeton d’authentification associé au compte KRBTG ; un compte caché spécial dont la mission est de chiffrer tous les jetons d’authentification pour le DC. Ce Golden Ticket peut ensuite utiliser une technique de « Pass-the-hash » pour se connecter à n’importe quel compte, ce qui permet aux pirates de se balader incognito sur le réseau. Combien de données sensibles « verrouillées » avez-vous sur votre réseau ? Sont-elles verrouillées et accessibles uniquement par un utilisateur ayant une accréditation d’Administrateur de domaine ?

Pour créer et utiliser un Golden Ticket, le hacker doit trouver un moyen d’accéder au réseau :

  1. Infecter l’ordinateur cible avec un malware qui lui permettra d’utiliser des comptes utilisateur pour accéder à d’autres ressources réseau (souvent à partir d’un e-mail de phishing ou d’une autre vulnérabilité)
  2. Accéder à un compte ayant des privilèges élevés avec un accès au Contrôleur de domaine (DC).
  3. Se connecter au DC et obtenir via un dump le hachage du mot de passe du compte KRBTG afin de créer le Golden Ticket. Le pirate utilisera mimikatz ou une application de hacking similaire afin d’extraire le hachage du mot de passe à partir d’un dump
  4. Charger ce jeton Kerberos pour toute session et tout utilisateur et accéder à tout ce qui se trouve sur le réseau – toujours en utilisant l’application mimikatz.

L’attaque par Golden Ticket est vraiment astucieuse, mais elle n’est pas facile à réaliser.

How does a Golden Ticket Attack Work

Le point le plus insidieux concernant cette attaque, c’est que vous aurez beau changer le mot de passe du compte KRBTG, le jeton d’authentification restera valide. Vous pouvez reconstruire le DC, mais ce jeton restera valide.

Il est extrêmement difficile de faire le ménage lorsqu’un Golden Ticket a été créé pour votre domaine.

Comment vous défendre contre une attaque par Golden Ticket

Voici la bonne nouvelle : se protéger d’une attaque par Golden Ticket n’est pas très différent que de se protéger de toute autre attaque par malware ou infiltration. Fondamentalement, un hacker doit tout d’abord se procurer un accès privilégié pour créer le Golden Ticket – et plus il lui est difficile de voler de données d’identification, mieux vous serez protégé.

  • Formez les utilisateurs à reconnaître les mauvais liens (et à ne pas cliquer dessus)
  • Appliquez un modèle de moindre privilège
    • Limitez l’accès des utilisateurs à ce dont ils sont réellement besoin
    • Limitez les accès Admin et Administrateur de domaine
    • Utilisez avec modération les comptes Admin et seulement pour des modifications approuvées
  • Installez sur vos terminaux des protections pour empêcher les hackers de charger des modules comme mimikatz.
  • Créez un point d’étranglement pour accéder à votre DC, en ajoutant une couche de protection supplémentaire
    • Créez un serveur de terminal ne pouvant communiquer qu’avec les DC
    • Configurez les DC afin qu’ils n’acceptent des connexions administratives qu’à partir de ce Terminal Server
  • Surveillez les activités sur les fichiers et le comportement des utilisateurs
  • Créez une alerte relative à un comportement connu indiquant des attaques par Golden Ticket

Comment Varonis peut vous aider à détecter et bloquer les attaques par Golden Ticket

Varonis se base sur l’analyse de la sécurité pour détecter et émettre des alertes relatives aux vulnérabilités et aux attaques potentielles. Nos modèles de menace sont conçus pour détecter les activités suspectes et les attaques potentielles en amont, et tout au long de la chaîne du cybercrime.

La première chose que doit faire le pirate est d’infiltrer un compte utilisateur avec un malware lui donnant accès au PC par l’intermédiaire d’un réseau de commande et de contrôle.
Varonis analyse la télémétrie du périmètre et met en corrélation ces données avec celles que nous collectons à partir des Services d’annuaire. Dans ce cas, nous reconnaîtrons la tentative de connexion à un compte utilisateur à partir d’une adresse IP inconnue et située à l’extérieur.
Une équipe de sécurité a largement le temps de supprimer l’outil d’administration à distance (RAT) de l’ordinateur de l’utilisateur et de modifier le mot de passe de ce dernier, et ce bien avant que le hacker n’ait le temps de prendre pied dans votre organisation.

Modèle de menace : comportement anormal : activité en dehors des lieux géolocalisés connus de l’organisation
Comment ça marche : toute activité n’émanant pas des lieux géolocalisés connus déclenchera ce modèle de menace.
Systèmes visés : VPN
Signification : quelqu’un tente de se connecter au réseau via le VPN depuis un nouvel emplacement.

Si le pirate est déjà sur le réseau, un moyen de prendre le contrôle d’un compte privilégié est de lancer une attaque par force brute, que Varonis peut détecter grâce à ce modèle de menace :

Modèle de menace : comportement administrateur anormal : augmentation cumulative du nombre de verrouillages de comptes admin individuels
Comment ça marche : DatAlert détecte les augmentations statistiquement significatives d’événements de verrouillage au fil du temps – et peut identifier une quantité inhabituelle d’événements de verrouillage sur un compte admin en le comparant à son comportement habituel.
Systèmes visés : services d’annuaire
Signification : cela signifie que le compte multiplie les tentatives de connexion sans y parvenir. Il peut s’agir d’une erreur de configuration du mot de passe d’un utilisateur autorisé ou d’une attaque par force brute ou d’un utilisateur externe tentant de deviner le mot de passe. Ce compte est probablement la cible d’une attaque progressive par force brute visant à voler les données d’identification de l’administrateur ou d’interdire l’accès.

Si un pirate tente d’utiliser mimikatz pour commencer à utiliser son Golden Ticket, Varonis envoie une alerte au moment de cette tentative, avant qu’il ne soit trop tard :

Modèle de menace : logiciel d’exploitation créé ou modifié
Comment ça marche : Varonis détecte une opération de création ou de modification d’un fichier figurant dans une liste d’outils de piratage connus (par exemple, mimikatz).
Systèmes visés : Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, One Drive, Dell FluidFS, Nasuni…
Ce que cela signifie : un pirate a infiltré le réseau et tente de renforcer ses capacités pour se balader incognito et voler des données.

Si un pirate s’est déjà introduit dans le système et qu’il a réussi à créer un Golden Ticket, vous pourrez le repérer lorsqu’il utilisera ce ticket pour se connecter à un compte avec ses privilèges d’accès à la totalité du domaine :

Modèle de menace : attaque « pass-the-ticket » potentielle
Comment ça marche : Varonis a détecté que le compte d’un utilisateur a accédé à une ressource sans authentification. Cela signifie qu’il a contourné le protocole Kerberos et qu’il s’agit peut-être d’une attaque Golden Ticket réussie.
Systèmes visés : services d’annuaire
Ce que cela signifie : un hacker a réussi une attaque pass-the-hash, a pu obtenir un Golden Ticket et se connecte dès maintenant avec ces données d’identification.

Avec ce type de notification immédiate, vous pourrez prendre les mesures nécessaires pour réinitialiser tous les mots de passe, changer nécessairement deux fois celui du KRBTG, invalider tous les jetons d’authentification Kerberos actuels et créer de nouveaux jetons pour vos utilisateurs. Vous pouvez refermer la brèche de sécurité et interdire au hacker l’accès à votre réseau.

Demandez une évaluation gratuite des risques pour identifier vos vulnérabilités potentielles, dont les risques d’attaque par Golden Ticket – et inscrivez-vous pour une démonstration individuelle afin d’apprendre comment détecter un comportement anormal indiquant une attaque en cours, et comment vous défendre contre une attaque par Golden Ticket.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

attaque-kerberos-:-édition-silver-ticket
Attaque Kerberos : édition Silver Ticket
Si vous pensez que, de par son nom, l’attaque Silver Ticket est moins dangereuse que sa cousine Golden Ticket, vous faites gravement erreur. Une attaque Silver Ticket est tout aussi...
protection-contre-les-programmes-malveillants-:-défendre-les-données-grâce-à-l’analyse-de-la-sécurité-de-varonis
Protection contre les programmes malveillants : défendre les données grâce à l’analyse de la sécurité de Varonis
Le terme de « programme malveillant » ou « malware » est devenu une appellation fourre-tout utilisée pour désigner tout morceau de code tentant de passer inaperçu puis de subvertir les intentions du propriétaire...
5-façons-de-protéger-active-directory-avec-varonis
5 façons de protéger Active Directory avec Varonis
Le moyen le plus rapide de s’infiltrer dans un réseau est de passer par Active Directory (AD) – c’est lui qui détient les clés de tout le royaume. Si vous devez accéder...
explication-de-l’authentification-kerberos
Explication de l’authentification Kerberos
En mythologie, Kerberos (que vous connaissez peut-être plutôt sous le nom de Cerbère) garde l’entrée des Enfers. Il s’agit d’un gros chien à trois têtes et à queue en serpent...