Utilisation des GMSA
Privilégiez les Group Managed Service Accounts (gMSA). Leurs mots de passe de 240 caractères gérés par Windows rendent le Kerberoasting impossible à casser.
Active Directory : Attaques sur les Mots de Passe et Identifiants
1. Password Spraying : la force brute discrète
Section intitulée « 1. Password Spraying : la force brute discrète »Contrairement à la force brute classique, le Password Spraying consiste à tester un seul mot de passe courant (ex: Bienvenue2025!) contre un grand nombre de comptes.
Logique de l’Attaquant
Section intitulée « Logique de l’Attaquant »Cette technique est conçue pour contourner les politiques de verrouillage. En répartissant les tentatives sur des centaines d’utilisateurs, l’attaquant reste sous le seuil de détection des systèmes de sécurité, pariant sur le fait qu’au moins un utilisateur aura choisi un mot de passe prévisible.
Preuves Forensiques
Section intitulée « Preuves Forensiques »- Échecs de connexion : surveiller les Contrôleurs de Domaine pour un volume élevé d’Événements ID 4625 provenant d’une seule IP source mais ciblant de nombreux noms d’utilisateurs différents sur une courte période.
2. AS-REP Roasting : abus de la pré-authentification
Section intitulée « 2. AS-REP Roasting : abus de la pré-authentification »L’AS-REP Roasting cible les comptes disposant de l’attribut “Ne pas requérir la pré-authentification Kerberos”.
Mécanisme
Section intitulée « Mécanisme »Normalement, un utilisateur doit prouver qu’il connaît son mot de passe avant que le DC ne délivre un ticket. Si cette option est activée, n’importe qui peut demander des données d’authentification (AS-REP) pour cet utilisateur. Ces données sont chiffrées avec le hash du mot de passe et peuvent être cassées hors ligne.
Pistes d’Investigation
Section intitulée « Pistes d’Investigation »- Audit de Configuration : identifier régulièrement les comptes où l’option
DONT_REQ_PREAUTHest présente dans l’attribut UserAccountControl. - Surveillance des Journaux : chercher l’Événement ID 4768 (Demande de TGT). Un succès avec un code résultat
0x0indiquant l’absence de pré-authentification est un marqueur fort.
3. Kerberoasting : ciblage des comptes de service
Section intitulée « 3. Kerberoasting : ciblage des comptes de service »Le Kerberoasting est l’une des méthodes les plus efficaces pour l’élévation de privilèges. Elle cible les comptes associés à un Service Principal Name (SPN).
Faille logique
Section intitulée « Faille logique »Tout utilisateur authentifié peut demander un Ticket de Service (TGS) pour n’importe quel service du domaine. Le DC renvoie un ticket chiffré avec le hash du Compte de Service. L’attaquant récupère ce ticket en mémoire et tente de le casser hors ligne pour obtenir le mot de passe.
Stratégie de détection
Section intitulée « Stratégie de détection »- Demandes en masse : surveiller l’Événement ID 4769 (Demande de ticket de service). Une anomalie est détectée lorsqu’un seul utilisateur demande des tickets pour de nombreux services variés en très peu de temps.
- Affaiblissement du chiffrement : porter une attention particulière aux demandes utilisant le type de chiffrement RC4 (0x17), beaucoup plus facile à casser que l’AES.
4. Matrice de Détection et Remédiation
Section intitulée « 4. Matrice de Détection et Remédiation »| Type d’Attaque | Cible | ID d’Événement Clé | Remédiation |
|---|---|---|---|
| Password Spraying | Tous les utilisateurs | 4625 (Massif) | MFA & Politique de mots de passe forte |
| AS-REP Roasting | Comptes mal configurés | 4768 (Résultat 0x0) | Forcer la pré-authentification Kerberos |
| Kerberoasting | Comptes de Service (SPN) | 4769 (Anormal) | Mots de passe de service longs et complexes |
Comptes Honey-SPN
Créez des comptes “leurres” avec des SPN. Toute demande de ticket sur ces comptes doit déclencher une alerte immédiate et critique dans votre SOC.