Contournement des contrôles d'accès au système
Cet article fait partie d'une série consacrée à l'examen d'un récent avis conjoint de la avis conjoint sur la cybersécurité de la NSA et de la CISA sur les principaux problèmes de cybersécurité identifiés lors d'exercices en équipe rouge/bleue menés par ces organisations. Dans cet article, vous trouverez un examen plus approfondi du problème spécifique, avec des scénarios réels où il s'applique, ainsi que des stratégies d'atténuation qui peuvent être adoptées pour le limiter ou le surmonter. Cet article développe les informations fournies par le rapport de la NSA/CISA.
-
Les systèmes centralisés de gestion de l'identité, recommandés pour réduire les risques d'authentification sur plusieurs plateformes, créent involontairement une vulnérabilité. Ces systèmes, qui confirment le statut et le niveau d'accès d'un compte, échangent des messages souvent cryptés, mais qui ne sont pas à l'abri d'une interception. Un chiffrement faible, des secrets partagés ou des systèmes tiers vulnérables peuvent permettre à des acteurs malveillants d'observer et de capturer des messages d'authentification. Ils peuvent ensuite "rejouer" ces messages pour obtenir des privilèges non autorisés.
Comment cela fonctionne-t-il exactement ?
Les difficultés de l'authentification centralisée
Il est recommandé aux organisations d'utiliser des systèmes centralisés de gestion de l'identité afin de réduire le risque associé à la dispersion de l'authentification et de l'autorisation sur plusieurs systèmes, chacun d'entre eux devenant alors une responsabilité en cas d'incident. Cependant, cette centralisation des processus conduit à un mécanisme nécessaire par lequel un système tiers demande la confirmation du statut d'un compte donné - autorisé ou non - et du niveau d'accès (c'est-à-dire les privilèges qui devraient être accordés après la connexion).
Ce mécanisme repose sur l'échange de messages entre le système centralisé de gestion des identités et le système tiers, par l'intermédiaire d'un réseau et généralement chiffrés. Toutefois, en raison de multiples facteurs (chiffrement faible, secrets partagés ou systèmes tiers mal protégés), un acteur malveillant peut observer le processus d'authentification pendant qu'il se déroule et collecter le message qui en résulte. Dans certains scénarios, il est alors possible de "rejouer" ce message et de tromper les systèmes pour qu'ils l'acceptent implicitement, sans autres vérifications, et accordent des privilèges injustifiés à l'acteur malveillant ou aux processus qu'il contrôle.
L'exemple d'Active Directory
L'authentification Kerberos d'Active Directory est un cas notable où des valeurs de hachage sont échangées entre les systèmes, ce qui entraîne des vulnérabilités. Dans ce cas, des exploits tels que "Golden Ticket" et "Pass-the-Hash" sont devenus courants dans l'arsenal des cybercriminels :
- Attaque "Pass-the-Hash: Cette technique consiste à capturer un hachage (une représentation alphanumérique de taille fixe d'un mot de passe ou d'une clé) utilisé dans le processus d'authentification. Les attaquants utilisent ensuite ce hachage pour s'authentifier et accéder aux ressources du réseau, sans avoir besoin du mot de passe réel.
- Attaque du ticket d'or: Cette attaque vise Kerberos, un protocole d'authentification réseau utilisé dans les environnements Windows. Une fois que les attaquants ont accédé à un contrôleur de domaine clé, ils peuvent créer un "ticket d'or", qui permet de s'authentifier comme n'importe quel utilisateur du domaine, ce qui conduit souvent à un accès illimité sur le réseau.
Je suis donc parfaitement en sécurité sous Linux ?
Ces types d'attaques ne sont pas spécifiques à un système d'exploitation ou à une plate-forme. Elles se présentent également sous de nombreuses formes, Kerberos n'étant qu'un exemple parmi d'autres. Le fait que la gestion centralisée des identités fournie par Active Directory soit (ou puisse être) utilisée de différentes manières dans les systèmes Linux expose inévitablement ces systèmes au même problème.
L'inverse est également possible : on peut trouver des stand-ins Active Directory fonctionnant sous Linux et fournissant une connectivité et une authentification ldap à des systèmes basés sur Windows. Le risque ne doit pas être négligé, que vous utilisiez ou non Active Directory sous Windows.
En fait, ce problème n'est même pas spécifique aux environnements Active Directory, ni même au réseau et aux systèmes internes. Le contournement des contrôles d'accès au système peut également être réalisé, par exemple, au moyen de jetons d'autorisation mal sécurisés sur des plateformes en ligne populaires, telles que les services d'hébergement de code, de courrier électronique et de médias sociaux. Si un jeton est créé pour donner accès à un bien donné et que ce jeton est volé, divulgué ou publié accidentellement en ligne, la personne qui y a accès peut obtenir les privilèges associés au jeton sans avoir à s'authentifier à nouveau auprès du service, contournant ainsi les contrôles d'accès en place, quels qu'ils soient.
Stratégies d'atténuation : Une approche globale
Une défense efficace contre le contournement des contrôles d'accès nécessite une stratégie globale :
- Privilèges à usage unique renforcés: L'authentification doit être unique pour chaque session. Une fois la session terminée, la réauthentification doit être obligatoire.
- Validation de la géolocalisation: Les lieux de connexion inhabituels devraient déclencher une réauthentification immédiate, une étape cruciale dans la prévention des attaques par détournement de session.
- Un raffinement supplémentaire peut même vérifier l'emplacement et l'adresse IP du système client d'origine, plutôt que l'utilisateur spécifique. Un changement de l'appareil habituel à partir duquel la connexion est initiée devrait déclencher une réauthentification.
- Ce type d'événement doit faire l'objet d'une surveillance étroite et des alertes à haut risque doivent être mises en place lorsqu'il se produit.
- Des normes de cryptage fortes: Assurer la communication entre les systèmes en utilisant le cryptage mutuellement supporté le plus fort - en évitant les normes par défaut, plus faibles.
- Mises à jour régulières du système: Les systèmes modernes dotés de services actualisés peuvent mieux contrer ces attaques, ce qui nécessite un engagement permanent en faveur des mises à jour technologiques.