Au-delà de la porte : La confiance zéro et la défense d'Active Directory

Lorsque Marks & Spencer s'est retrouvée dans l'obscurité en avril dernier, il ne s'agissait pas d'une panne comme les autres. Le détaillant britannique avait fermé ses services en ligne pour contenir une attaque de ransomware visant son infrastructure d'identité centrale.

Les chercheurs établissent désormais un lien entre l'incident et Scattered Spider, une équipe peu soudée d'attaquants basés au Royaume-Uni et aux États-Unis, dont certains n'avaient que 16 ans. Le groupe a utilisé DragonForce, un service d'affiliation de ransomware qui rend les cyberattaques aussi faciles que la location de logiciels malveillants et d'outils d'extorsion.

Ajoutant l'insulte à l'injure, DragonForce a même envoyé un courriel direct au PDG de M&S, Stuart Machin, pour se vanter de la violation et exiger le paiement.

Ce n'est pas le motif qui a fait la différence, mais la précision. Plutôt que de s'attarder sur les systèmes des utilisateurs finaux, les attaquants se sont frayé un chemin à travers le réseau jusqu'au contrôleur de domaine - le système qui régit l'identité et la confiance au sein de l'entreprise.

Cela reflète une tendance plus large : les groupes de ransomware ciblent de plus en plus l'infrastructure d'identité pour accélérer leurs attaques. Comprendre comment ce changement s'est opéré - et comment il peut être arrêté - montre pourquoi l'identité est devenue le centre de gravité de la défense moderne contre les ransomwares.

‍

‍

‍

Quand le cœur de l'identité n'est pas sécurisé

‍Les enquêteursont confirmé que les attaquants de M&S ont exfiltré le fichierNTDS.dit - les joyaux de la couronne de Microsoft Active Directory.  

Active Directory fonctionne sur des contrôleurs de domaine - les serveurs qui stockent et appliquent l'ensemble du système d'identité. En termes clairs, ils ont volé la base de données des contrôleurs de domaine, le système qui détermine qui, au sein d'une entreprise, est digne de confiance, ce à quoi il est autorisé à accéder et comment tous les autres systèmes vérifient l'identité.  

Ce vol est l'équivalent numérique de la sortie d'une banque, non seulement avec le contenu du coffre-fort, mais aussi avec les clés, les plans et le pouvoir d'imprimer de l'argent à volonté.  

Cette attaque a mis en lumière une réalité que les organisations ne veulent peut-être pas admettre publiquement : les attaquants savent que la compromission d'un contrôleur de domaine est le moyen le plus rapide et le plus fiable de pénétrer dans l'ensemble d'une entreprise.

L'attaque de M&S montre également comment les acteurs de la menace moderne pensent souvent. Une fois qu'ils ont pénétré dans un réseau, ils ne s'attardent pas sur les machines des utilisateurs finaux et ne cherchent pas de serveurs isolés à chiffrer. Ils se concentrent souvent sur la recherche d'un chemin vers le contrôleur de domaine.

En effet, Active Directory est le système qui tient tout ensemble - les comptes d'utilisateurs, les comptes de services, les autorisations, les tickets d'authentification et les relations de confiance qui lient les grands environnements d'entreprise. C'est une voie qu'une approche de confiance zéro aurait fermée.

"Si vous contrôlez le contrôleur de domaine, vous contrôlez l'infrastructure d'identité de l'organisation", a déclaré Michael Adjei, directeur de l'ingénierie des systèmes chez Illumio. "Vous pouvez vous donner ce que l'on appelle des permissions de type divin pour contrôler tous les systèmes qui lui font confiance.

Cette constatation fait écho aux avertissements de la CISA.

"Si un pirate atteint le contrôleur de domaine, il ne se contente pas d'y accéder. Ils héritent de tout le tissu identitaire de l'organisation", a déclaré M. Adjei. "Les comptes, les autorisations, les jetons, les identifiants de service : tout découle d'Active Directory.  

La brèche dans le système de santé Change : une avancée que personne n'a arrêtée

Une situation similaire s'est produite lors d'une violation de Change Healthcare révélée en février 2024, l'un des plus grands cyberincidents de l'histoire des États-Unis dans le domaine de la santé.

Les attaquants, qui seraient des affiliés de l 'ALPHV Blackcat, ont pris pied grâce à un serveur distant dépourvu d'authentification multifactorielle. Ils se sont ensuite déplacés latéralement dans l'environnement, ont augmenté leurs privilèges et ont finalement atteint les systèmes liés à l'infrastructure d'identité centrale de l'entreprise.

Les résultats ont été catastrophiques: des semaines de pannes, des milliards de pertes, l'interruption des pharmacies à l'échelle nationale et l'exposition des données touchant près de 200 millions de personnes.

Le PDG de UnitedHealth Group, Andrew Witty, a payé la rançon, qui s'élèverait à environ 22 millions de dollars en bitcoins.  

Mais le paiement n'a pas permis de récupérer les données. Witty a confirmé que Change Healthcare n'avait rien récupéré - un résultat habituel dans les cas de ransomware et une des principales raisons pour lesquelles les experts déconseillent tout paiement.  

Le département d'État américain offre 15 millions de dollars pour toute information permettant d'identifier ou de retrouver les dirigeants de l'ALPHV/BlackCat.

Comment la brèche s'accélère : chemin vers le contrôleur de domaine

La violation montre le coût réel d'une défaillance de la couche d'identité combinée à un manque de contrôles "Zero Trust" : une faille, une attaque latérale rapide et une perturbation à l'échelle nationale qu'aucune rançon ne peut inverser.

Une fois à l'intérieur, les acteurs de la menace n'ont pas besoin d'atteindre tous les systèmes - ils ont seulement besoin d'un chemin est-ouest de moindre résistance sans contrôle.  

Sans rien pour contenir la brèche, ils se déplacent latéralement vers le contrôleur de domaine, s'emparent des systèmes d'identité de base de la victime et transforment un simple point d'ancrage en une compromission totale.

M. Adjei a expliqué que la plupart des violations de contrôleurs de domaine commencent par quelque chose de mineur, comme un système non corrigé, un contrôle d'identité mal configuré ou un ancien compte de service avec trop de privilèges. Ces brèches permettent aux attaquants de s'implanter discrètement et de cartographier l'environnement de l'intérieur.

À partir de là, la reconnaissance semble ordinaire : recherche de groupes, vérification de la confiance dans les domaines, requêtes Kerberos et énumération des services. Aucun d'entre eux ne peut déclencher d'alarme à lui seul. Mais ensemble, ces étapes révèlent la cible la plus importante du réseau : le contrôleur de domaine et les identités qui peuvent l'atteindre.

"Le danger est que de nombreuses organisations pensent que leur contrôleur de domaine est en sécurité parce qu'il est placé sous surveillance ou isolé physiquement", a déclaré M. Adjei. "Mais les attaquants s'y attaquent rarement directement. Ils suivent n'importe quelle voie interne ouverte - un justificatif faible, un système accessible ou un réseau plat est-ouest qui ne bloque jamais leur mouvement".  

Le schéma des violations de M&S et de Change Healthcare est clair : lorsque les attaquants peuvent atteindre Active Directory, l'escalade est inévitable.

"Vous avez besoin d'une visibilité basée sur des graphiques, et pas seulement de journaux", a déclaré M. Adjei. "Vous devez comprendre les relations entre les entités - comment le compte A communique avec le système B, qui s'authentifie par l'intermédiaire du contrôleur de domaine. C'est là que la cartographie des dépendances devient essentielle".

Sécuriser le cœur de l'identité par la segmentation

Les contrôleurs de domaine ne peuvent pas se trouver sur un réseau ouvert. Lorsque tout peut les atteindre, les attaquants le peuvent aussi.  

‍La segmentation crée des limites de confiance zéro simples et solides autour de ces systèmes. Il bloque le trafic est-ouest inutile et supprime les chemins faciles qu'utilisent les attaquants pour s'enfoncer plus profondément.

La première étape consiste à voir comment tout est connecté. Déterminez les systèmes qui communiquent avec Active Directory et les comptes qui en dépendent. Grâce à cette vue, vous pouvez limiter l'accès, de sorte que seuls les systèmes qui ont réellement besoin du contrôleur de domaine puissent y accéder.

Une approche de la segmentation fondée sur la confiance zéro doit également fonctionner dans tous les environnements - nuage, centre de données et points d'extrémité. Sans cela, il est concevable que des attaquants puissent les traverser tous.  

Un noyau d'identité segmenté permet d'éviter qu'une petite brèche ne se transforme en une compromission totale.

Améliorer la détection et la réponse aux mouvements latéraux

La plupart des attaques ne deviennent sérieuses qu'après la première prise de pied.  

C'est pourquoi la détection doit aller au-delà de la brèche initiale. Une sécurité forte commence par un contexte clair : vous devez savoir comment les charges de travail, les comptes et le contrôleur de domaine sont liés les uns aux autres.

Ensuite, concentrez-vous sur les signaux de mouvements latéraux. Il peut s'agir de connexions étranges entre les systèmes, de schémas de trafic inhabituels ou d'une identité qui atteint quelque chose qu'elle n'a jamais touché. Lorsque la détection ne met en évidence que les événements importants, les équipes peuvent agir plus rapidement avec moins de bruit.

La dernière étape est le confinement rapide. La détection et la segmentation doivent fonctionner ensemble pour isoler un système dès qu'il se comporte de manière risquée. Cela empêche un attaquant de se déplacer vers le noyau d'identité et réduit le rayon d'action d'une éventuelle brèche.

‍ExpérimentezIllumio Insights gratuitement dès aujourd'hui pour apprendre comment voir et arrêter les attaques de contrôleurs de domaine avant qu'elles ne se propagent.