Attaques Kerberoasting : comment protéger votre Active Directory
Table of Contents
Un compte administrateur de domaine est le Graal des comptes privilégiés dans un environnement Microsoft Active Directory. Si un attaquant peut mettre la main sur un compte Administrateur de domaine dans le domaine, il aura accès à pratiquement tout. Le Kerberoasting est une technique que les attaquants peuvent utiliser pour escalader les privilèges au sein d’Active Directory.
Nous allons examiner ce qu’est le kerberoasting, ce qui rend Active Directory vulnérable, et comment cela peut être prévenu.
Qu’est-ce que Kerberos ?
Pour comprendre le kerberoasting, nous devons d’abord comprendre Kerberos lui-même. Kerberos est le protocole d’authentification utilisé dans l’Active Directory de Microsoft. Il est utilisé pour vérifier l’identité d’un utilisateur ou d’un ordinateur demandant l’accès aux ressources. Les clients reçoivent un jeton spécial appelé ticket en utilisant le Centre de distribution de clés Kerberos (KDC) d’Active Directory.
Le Ticket Granting Ticket (TGT) d’Active Directory est le mécanisme qui accorde les permissions pour demander un ticket Ticket Granting Service (TGS). Le ticket TGS est ensuite utilisé pour accéder aux ressources du domaine, telles que les serveurs de fichiers.
Qu’est-ce que le kerberoasting ?
Le Kerberoasting est une attaque d’escalade de privilèges qui exploite le protocole d’authentification Kerberos dans Microsoft Active Directory et le mécanisme d’octroi de tickets décrit ci-dessus. Un attaquant peut utiliser un compte utilisateur Windows standard pour accéder au hachage de mot de passe d’un utilisateur privilégié.
Connue comme une technique d’attaque post-exploitation, l’objectif du kerberoasting est d’obtenir un hachage de mot de passe pour un compte Active Directory qui a un Service Principle Name (SPN). Un SPN lie un service Kerberos à un compte utilisateur au sein d’Active Directory. L’attaquant demande un ticket Kerberos pour un SPN, et le ticket récupéré est chiffré avec le hachage du mot de passe du compte cible associé au SPN. L’attaquant travaille ensuite hors ligne pour essayer de craquer le hachage du mot de passe et finalement prendre le contrôle du compte ainsi que de son accès associé.
Ces attaques peuvent être difficiles à détecter car elles ne reposent pas sur des logiciels malveillants, ce qui signifie qu’elles ne seront pas détectées par l’antivirus ou d’autres solutions traditionnelles. Le Kerberoasting est difficile à détecter pour toute solution de cybersécurité qui n’analyse pas le comportement des utilisateurs approuvés.
Qu’est-ce qu’un compte de service Active Directory ?
La plupart des organisations utilisent un compte de service pour exécuter les services Windows sur les serveurs dans un environnement de domaine Active Directory. Généralement, ces comptes ne sont pas utilisés par les utilisateurs réguliers. Au lieu de cela, les administrateurs créeront un compte utilisateur Active Directory, définiront le mot de passe pour qu’il n’expire pas, et définiront le mot de passe pour l’utilisateur.
Comme vous pouvez le voir ci-dessous, vous verrez le compte de service assigné au service Windows dans la console Services.
Si vous double-cliquez sur un service, vous verrez les détails du compte de service associé.
Les comptes de service peuvent être dangereux car ils ont généralement des permissions de haut niveau sur un serveur ou même un accès administrateur de domaine. Ils sont souvent mal surveillés et peuvent être configurés avec des mots de passe faibles et facilement compromis qui peuvent rapidement être craqués en utilisant les outils mentionnés précédemment.
Comment fonctionne le kerberoasting ?
Pour mener une attaque kerberoasting, l’attaquant doit être sur le réseau d’entreprise où réside Active Directory pour avoir un accès « en ligne de mire » et une communication avec un contrôleur de domaine. D’abord, un attaquant peut exploiter des identifiants utilisateur faibles pour accéder à un compte utilisateur standard et ensuite utiliser la technique kerberoasting pour compromettre le ticket de service Kerberos légitime d’Active Directory.
Pour que cette attaque fonctionne, l’attaquant a déjà accès à un compte utilisateur Windows standard. Les attaquants peuvent utiliser n’importe quel compte de domaine pour une attaque kerberoasting, car n’importe quel compte peut demander des tickets au TGS.
Comment les attaquants accèdent-ils à un compte Windows standard valide dans l’environnement ? Ils peuvent utiliser plusieurs méthodes pour révéler un compte utilisateur valide. Celles-ci incluent :
- Attaques de phishing
- Logiciels malveillants
- Courtiers d’accès initial
- Ingénierie sociale
Une fois qu’un attaquant est à l’intérieur du réseau, il peut demander un ticket de service Kerberos au service d’octroi de tickets (TGS) dans Active Directory. Il existe de nombreux outils gratuits et open source disponibles qui facilitent ce processus. Les exemples incluent Rubeus de GhostPack ou GetUserSPNs.py de SecureAuth Corporation. Beaucoup de ces outils sont disponibles dans le cadre de Kali Linux, une distribution Debian spécialisée destinée aux tests de pénétration en cybersécurité.
L’exécution de ces scripts contre Active Directory recherchera tous les comptes utilisateur associés aux SPN sur le domaine ET demandera leur ticket valide au contrôleur de domaine. Le ticket retourné par le contrôleur de domaine est chiffré avec un hachage NTLM.
L’attaquant capturera ensuite la valeur retournée du ticket Kerberos et la prendra hors ligne pour utiliser un outil de mot de passe comme Hashcat ou John the Ripper, en utilisant une table arc-en-ciel ou une force brute pour craquer le mot de passe du compte utilisateur associé au ticket Kerberos.
Contournement de l’antivirus et surveillance du trafic réseau
L’une des raisons pour lesquelles le kerberoasting est un favori parmi les attaquants est qu’il leur permet de mener l’attaque hors ligne. C’est parce qu’il n’utilise pas de logiciels malveillants que les programmes antivirus peuvent bloquer, et puisqu’ils prennent le hachage hors ligne pour le craquage, cela n’implique aucun trafic réseau inhabituel ou connexions de compte. Donc, après les activités initiales pour obtenir le hachage du ticket Kerberos, l’attaquant peut travailler entièrement hors ligne jusqu’à ce qu’il ait craqué le hachage du mot de passe pour le compte de service.
Comment les organisations peuvent-elles se protéger contre les attaques kerberoasting ?
Le Kerberoasting peut être difficile à protéger car il utilise la fonctionnalité Kerberos légitime et le service d’octroi de tickets pour mener l’attaque. Cependant, il y a certainement des meilleures pratiques que les organisations peuvent suivre pour renforcer leurs mots de passe de compte et la sécurité des comptes de service. Notez ce qui suit :
- Suivez le principe du moindre privilège et accordez les permissions administrateur avec parcimonie. Les comptes de service se voient souvent accorder des permissions administratives. Cependant, les droits d’administrateur sont souvent donnés quand ils ne sont pas nécessaires pour contourner tout défi ou obstacle.
- Auditez régulièrement tous les mots de passe de compte de domaine, y compris les comptes de service. Assurez-vous d’auditer les mots de passe de compte de domaine Active Directory, y compris les comptes de service. S’il y a des mots de passe faibles assignés aux comptes de service configurés dans le domaine, les administrateurs ont besoin de visibilité sur ceux-ci.
- Utilisez des outils tiers. Mener un audit efficace des mots de passe Active Directory nécessite des outils tiers. Il n’est pas facile d’auditer manuellement les mots de passe Active Directory en utilisant des scripts maison et d’autres outils que les administrateurs doivent maintenir.
Comment Specops Password Auditor peut-il aider ?
Specops Password Auditor offre un outil automatisé gratuit pour scanner de manière proactive et trouver les mots de passe faibles, réutilisés et compromis dans votre environnement Active Directory. Il rend ce processus extrêmement facile en fournissant un outil d’audit automatisé qui vérifie les mots de passe des comptes utilisateur Active Directory contre une liste de mots de passe vulnérables obtenus à partir de multiples sources de violation de données.
Il fournit également des informations précieuses, telles qu’une vue complète des comptes administrateur dans le domaine d’une organisation, y compris les comptes administrateur et utilisateur obsolètes/inactifs. Ces capacités aident les administrateurs à auditer les comptes de service dans le domaine pour la sécurité des mots de passe et aident à donner de la visibilité aux comptes de service avec des permissions administrateur. Specops Password Auditor vous donne une vue complète des comptes obsolètes dans vos organisations, qui sont souvent un point de départ pour les attaques kerberoasting. Vous pouvez également voir tous les comptes administrateur délégables et choisir de les marquer comme « sensibles et ne peuvent pas être délégués » dans votre environnement.
Il génère également des rapports de comparaison des paramètres de mot de passe dans votre organisation par rapport aux réglementations de conformité standard de l’industrie, telles que NIST, PCI, HiTrust, et bien plus.
(Last updated on 22/07/2025)