Vulnérabilité d’Exchange : comment détecter une élévation de privilèges au niveau administrateur de domaine

L’année passée, des chercheurs ont divulgué une vulnérabilité d’Exchange permettant à tout utilisateur d’un domaine d’obtenir des privilèges d’administrateur de domaine et de compromettre AD et les hôtes connectés. Nos...
Adrien Rahmati-Georges
2 minute de lecture
Dernière mise à jour 28 octobre 2021

L’année passée, des chercheurs ont divulgué une vulnérabilité d’Exchange permettant à tout utilisateur d’un domaine d’obtenir des privilèges d’administrateur de domaine et de compromettre AD et les hôtes connectés. Nos ingénieurs en sécurité ont remarqué que cette vulnérabilité n’avait que peu été comblée.

Voici comment fonctionne l’attaque :

  • Le pirate utilise un utilisateur compromis du domaine ayant accès à la messagerie pour souscrire à la fonctionnalité de notification push d’Exchange.
  • Il emploie un relais NTLM afin de se faire passer pour le serveur Exchange :
  • Le serveur Exchange s’authentifie auprès de l’hôte de l’utilisateur compromis en utilisant NTLM sur HTTP. Le hacker s’identifie ensuite auprès du contrôleur de domaine via LDAP en utilisant les identifiants du compte exchange.
  • Le hacker utilise ensuite les droits du compte Exchange pour modifier les droits sur l’objet domaine*.

*Cette dernière étape peut également être le fait d’un administrateur malhonnête disposant d’un accès légitime lui permettant de modifier ces droits : en créant une règle pour détecter cette activité, vous serez protégé dans les deux cas.

Il peut alors exécuter une attaque DCSync pour obtenir les mots de passe hachés de tous les utilisateurs du domaine, ce qui lui permet de lancer divers types d’attaques, comme des attaques par golden ticket ou pass the hash.

Notre équipe de recherche a enquêté et élaboré un guide pour aider nos clients à détecter ce type d’attaque et déterminer s’ils ont déjà été compromis.

Voici ce que vous devez savoir.

Comment détecter l’élévation de privilèges au niveau du domaine

Dans DatAlert, créez une règle personnalisée pour suivre des modifications spécifiques de droits effectuées sur un objet : une alerte sera déclenchée dès qu’un droit sur un objet Services d’annuaire sera ajouté sur l’objet domaine.

  1. Définissez le nom de la règle
  2. Définissez la catégorie d’alerte sur « privilege escalation »
  3. Définissez le type de ressource sur « all values selected »
  4. Définissez l’objet concerné :
  5. File Server = DirectoryServices
  6. Choisissez l’objet domaine
  7. Créer le filtre pour DS objet permission added

Générez le rapport : How to Detect Permission Change on the Domain Object

Les modifications de droit sur l’objet domaine ne doivent pas être fréquentes ; tout ce qui déclenche cette alerte doit faire l’objet d’une enquête.  Gardez à l’esprit que vous n’êtes qu’à une case à cocher de générer une alerte sur toute modification de droits SA (n’oubliez pas de laisser décoché « search in child objects » !). C’est pourquoi vous devez, avant de la rendre opérationnelle, générer un rapport pour valider l’alerte.

Ce rapport vous permettra également voir si vous avez déjà été touché par cette attaque.

Une fois la règle déployée, vous pouvez examiner ces élévations de privilèges à partir de l’interface utilisateur Web :

Cette règle étant définie, vous pourrez surveiller et vous protéger contre ce type de vulnérabilités, examiner les événements d’objet Services d’annuaire, et vérifier si vous avez été affecté ou non par cette vulnérabilité.

Vérifiez également la mise à jour de sécurité Microsoft et contactez votre SE si vous avez des questions.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

contrôleur-de-domaine-:-qu’est-ce-que-c’est-?-dans-quel-cas-est-il-nécessaire-?-comment-le-mettre-en-place-?
Contrôleur de domaine : Qu’est-ce que c’est ? Dans quel cas est-il nécessaire ? Comment le mettre en place ?
Un contrôleur de domaine est un serveur qui répond aux demandes d’authentification et contrôle les utilisateurs des réseaux informatiques. Les domaines eux, sont un moyen hiérarchique d’organiser les utilisateurs et...
un-contrôleur-de-domaine-active-directory-(ad-dc)-n’a-pas-pu-être-contacté-[résolu]
Un contrôleur de domaine Active Directory (AD DC) n’a pas pu être contacté [RÉSOLU]
Lorsque vos utilisateurs vous signalent l’apparition d’un message « Un contrôleur de domaine active directory pour le domaine n’a pas pu être contacté », ce problème peut avoir plusieurs causes. Il est fort probable...
restez-attentifs-:-vérifiez-vos-autorisations-jira-pour-éviter-des-fuites
RESTez attentifs : Vérifiez vos autorisations Jira pour éviter des fuites
Les chercheurs de Varonis ont parcouru une liste de 812 sous-domaines et ont détecté 689 instances Jira accessibles. Nous y avons repéré 3 774 tableaux de bord, 244 projets et 75 629 tickets publics contenant des adresses e-mail, des URL et des adresses IP.
qu’est-ce-que-le-dns,-comment-fonctionne-t-il-et-quelles-sont-ses-vulnérabilités-?
Qu’est-ce que le DNS, comment fonctionne-t-il et quelles sont ses vulnérabilités ?
Le Domain Name System (Système de noms de domaine – DNS) est la version Internet des Pages jaunes. Dans le bon vieux temps, lorsque vous aviez besoin de trouver l’adresse d’une...