Introduction

Microsoft a publié en décembre dernier un document technique expliquant les mesures de protection à prendre pour se prémunir des attaques utilisant le mécanisme PtH (Pass The Hash).

On assiste en effet depuis environ deux ans à une aggravation sans précédent des activités criminelles sous la forme d’attaques depuis Internet, visant la propriété intellectuelle des entreprises et des administrations.

Ces attaques visent dans la quasi-totalité des cas à voler des documents concernant un sujet précis en fonction de l’ordre du commanditaire.

Ces attaques, qui sont de véritables opérations professionnelles d'espionnage, réussissent avec une facilité déconcertante car les entreprises ne sont pas protégées contre des attaques d’un tel niveau, bien au-dessus des divers virus qui ont longtemps été l’illustration d’une conception artisanale d’actes malveillants.

Le mécanisme "Pass the Hash"

L’analyse des attaques montre une préparation méthodique et une détermination sans faille pour pénétrer le réseau interne, s’installer puis s’approprier les privilèges de comptes d’administration afin d’accéder ensuite aux informations qu’il n’y a plus qu’à faire sortir par le même chemin (Internet). La discrétion est le propre de ces attaques sophistiquées et persistantes (Advanced Persistent Threats) qui peuvent durer plusieurs années sans que personne ne s’en rende compte.

La facilité pour mener avec succès de telles attaques a été facilitée par la mise à disposition sur Internet d’outils permettant de récupérer très facilement l’identité (credentials) des comptes privilégiés qui ont accès par défaut à beaucoup d’ordinateurs des entreprises.

Ce mécanisme s’appelle "Pass the Hash" car il permet de récupérer ces identités depuis la mémoire d’un ordinateur sous la forme d’un hash, c’est-à-dire d’un authentifiant lié au mot de passe d’un compte utilisateur.

L’analyse des attaques montre que ce mécanisme "Pass the Hash" est utilisé dans la grande majorité des attaques afin de permettre à l’attaquant qui a réussi à prendre pied sur un poste de travail d’étendre son emprise sur votre infrastructure :

  • Soit de manière latérale pour prendre possession d’un ordinateur de même valeur
  • Soit d’élever ses privilèges pour prendre possession d’un système de plus grande valeur (contrôleur de Domaine ou serveur contenant des données de valeur)

Et vous, êtes-vous concerné ?

Pour savoir si vous êtes concerné, demandez-vous simplement si de temps en temps un administrateur informatique de votre société ne va pas s’authentifier avec son compte privilégié sur des postes de travail standards, qui ont accès à Internet.

Cette façon de faire qui est malheureusement courante, associée au trop grand nombre souvent observé de comptes privilégiés, suffit à faire de votre entreprise une proie facile si elle devenait la cible d’une attaque. En fait, il suffit d’un instant à un logiciel malveillant présent sur un poste pour acquérir les privilèges de ce compte, et de quelques minutes pour se rendre maître de votre infrastructure informatique, et en plus à votre insu.

Face au décalage entre les pratiques qui avaient cours jusqu’à présent et la gravité extrême de ces attaques, il faut un changement de comportement pour s’en protéger.

Afin de vous aider, Microsoft a donc publié le document Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques qui contient les principes à appliquer ainsi que les procédures pas à pas à dérouler dans votre infrastructure.

Les mesures contenues dans le document de décembre

Les mesures qui sont expliquées dans ce document visent à empêcher la réussite des attaques utilisant le mécanisme "Pass the Hash", notamment en protégeant les comptes privilégiés.

Le document qui est très pédagogique, contient les procédures pas à pas à dérouler, de façon à ce que vous puissiez très vite vous organiser pour planifier leur mise en œuvre.

Les actions sont classées dans les quatre catégories suivantes :

  • Restriction et protection des comptes privilégiés
  • Restriction et protection des comptes d’administration locaux
  • Blocage du trafic entrant sur les postes de travail avec le pare-feu Windows
  • Actions complémentaires

Ces actions sont passées en revue dans les paragraphes ci-dessous.

Restriction et protection des comptes privilégiés

L’objectif est ici de se protéger contre les élévations de privilèges avec les mesures suivantes :

  • Faire en sorte que les comptes d’administration et autres comptes privilégiés ne s’authentifient que sur des serveurs ou postes hautement sécurisés
  • Affecter aux administrateurs un compte d’administration dédié, différent de leur compte standard
  • Leur affecter un poste de travail spécial pour les tâches d’administration
  • Marquer ces comptes comme "sensible et ne peut pas être délégué"
  • Configurer des services ou des tâches planifiées avec un compte privilégié de domaine seulement sur des serveurs hautement sécurisés

Restriction et protection des comptes d’administration locaux

L’objectif est ici de se protéger contre les mouvements latéraux avec les mesures suivantes :

  • Désactiver tous les comptes administrateur locaux
  • Interdire l’authentification depuis le réseau ou par Remote Desktop Services aux comptes locaux
  • Créer des mots de passe différenciés pour chaque compte administrateur local

Blocage du trafic entrant sur les postes de travail avec le pare-feu Windows

L’objectif est ici aussi de se protéger contre les mouvements latéraux avec un compte qui aurait été attaqué, avec la mesure suivante :

  • Interdire le trafic réseau entrant vers les postes de travail, sauf le trafic justifié et  venant d’une source sûre

Actions complémentaires

Il s’agit de mesures venant renforcer les actions ci-dessus :

  • Ne pas aller sur Internet avec un compte privilégié
  • Retirer les utilisateurs standards des groupes locaux Administrateurs
  • Configurer les proxy sortants pour interdire l’accès Internet aux comptes privilégiés
  • Vérifier que les comptes d’administration n’ont pas de compte de messagerie ou de boîte mail associée
  • Utiliser des outils d’administration à distance qui ne risquent pas de placer des identités réutilisables dans la mémoire d’ordinateurs distants : net use, PowerShell WinRMwithout CredSSP, PsExec without explicit creds, Remote Registry, Remote Desktop Gateway, IIS "Integrated Windows Authentication"
  • Mettre à jour les systèmes d’exploitation et les applications avec les correctifs disponibles
  • Limiter le nombre et l’utilisation des comptes privilégiés de domaine
  • Gérer de manière sécurisée les Contrôleurs de Domaine
  • Retirer les hash de type Lan Manager le cas échéant

Conclusion

Une fois réalisée la prise de conscience de la gravité des attaques PtH, il faut vraiment changer d’attitude face aux risques encourus par votre infrastructure informatique en :

  • Prenant connaissance et en vous familiarisant avec le contenu du document publié en décembre
  • Planifiant la mise en œuvre des recommandations du document en fonction de votre contexte
  • Déroulant les procédures détaillées qui sont là pour que vous soyez en mesure de les mettre en place sans assistance extérieure

Ces mesures, à la fois techniques et concernant la manière d’administrer votre infrastructure, renforceront votre protection contre les attaques PtH.

 

Renaud Depagne - Consultant Senior II MCS France.