Actu
Recherche du CyberArk Labs sur l’exploitation des identifiants de service au niveau du domaine
novembre 2016 par CyberArk Labs
CyberArk dévoile une nouvelle étude du CyberArk Labs indiquant que l’ensemble des points d’accès de Windows présenteraient un risque élevé. Cela inclut également ceux de Windows 10 pourtant dotés d’un outil de protection des identifiants. Cette faille permettrait aux cyber-pirates de dérober les identifiants de comptes de service chiffrés dans le registre et de les intégrer à un nouveau service malveillant afin de se déplacer latéralement et de pirater l’intégralité du domaine.
L’outil de protection des identifiants Microsoft Credential Guard a été conçu pour réduire les risques de mouvements latéraux exploitant des identifiants dérobés, mais ce système n’est apparemment pas capable de protéger dans une même mesure les identifiants de service et ceux des utilisateurs au niveau du domaine. Malgré le chiffrement appliqué, les identifiants de service au niveau du domaine restent dans le registre, au risque d’être subtilisés par des pirates disposant de privilèges d’administrateur local sur un point d’accès infecté.
De même que pour les attaques Pass-the-Hash, les cyberpirates ayant réussi à dérober un identifiant de service chiffré peuvent réutiliser ce dernier, sans même avoir besoin de le décrypter, afin de se déplacer latéralement dans le réseau d’une organisation, leur but ultime étant de s’immiscer dans le serveur avec les mêmes accès qu’un contrôleur de domaine.
Du vol d’identifiants au piratage du domaine
Au cours de leur étude de faisabilité, les chercheurs du CyberArk Lab ont pu démontrer que les cyberpirates capables de se faire passer pour un administrateur local sur une machine à utilisateur unique peuvent subtiliser des identifiants de service au niveau du domaine et les réutiliser sous forme chiffrée pour se déplacer latéralement et pirater l’ensemble du domaine, même si Credential Guard est activé. Les tests de CyberArk ont révélé qu’un pirate n’a pas besoin d’avoir recours à un malware pour réaliser ce type d’attaque, et pourra même prendre le contrôle total du domaine entier en quelques minutes à peine.
« Cette étude est importante, car elle aidera les organisations à comprendre que tous les identifiants ne bénéficient pas d’une protection identique, et que les identifiants chiffrés ne sont pas nécessairement plus sécurisés que les autres, déclare Kobi Ben Naim, senior director of cyber research chez CyberArk Labs. En ayant une meilleure compréhension des risques associés au vol d’identifiants, les organisations seront plus soucieuses de mettre en place des stratégies de protection, avec pour priorité la périphérie du réseau. »
Pour en savoir plus sur la méthodologie d’attaque et les stratégies utilisées pour limiter les risques de piratage des identifiants de service au niveau du domaine, nous vous invitons à lire le rapport complet “Stealing Service Credentials to Achieve Full Domain Compromise”.
L’étude de CyberArk Labs est axée sur des attaques ciblées visant des réseaux d’entreprise. Le Labs a analysé les méthodes, outils et techniques utilisés par les cyberpirates, ainsi que les méthodes et techniques permettant de détecter et de limiter de telles attaques.
