Les progrès de la cybersécurité permettent aux systèmes de surveillance des menaces de détecter les activités inhabituelles des criminels. Pour contourner ces outils avancés, les pirates exploitent désormais le statut standard légitime et les privilèges d'accès des utilisateurs autorisés à des fins malveillantes.
Un pirate peut avoir un accès illimité à vos données sans lever aucun indice en lançant l'attaque du ticket d'or. Ce faisant, il aura pratiquement les mêmes droits d'accès que vous. C'est dangereux pour un attaquant d'avoir de tels pouvoirs, tu ne trouves pas ? Voici comment le désactiver. Vérifier Qu'est-ce que la sécurité des fichiers ? Comment et pourquoi vous devez protéger les fichiers sur vos appareils.
Qu'est-ce que l'attaque du ticket d'or ?
Dans ce contexte, un golden ticket signifie un accès illimité. Le criminel avec le billet peut interagir avec tous les composants de votre compte, y compris les données, les applications, les fichiers, etc. Une attaque Golden Ticket est l'accès illimité qu'un attaquant obtient pour menacer votre réseau. Il n'y a pas de limite à ce qu'il peut faire.
L'attaque Golden Ticket peut être très destructrice. Un pirate peut l'utiliser pour voler des données, faire tomber des systèmes ou même pirater des systèmes sensibles. Il est important que vous soyez conscient de l'attaque du ticket d'or et que vous preniez des mesures pour vous en protéger.
Comment fonctionne l'attaque du ticket d'or ?
Active Directory (AD) est une initiative de Microsoft pour gérer les réseaux de domaine. Il dispose d'un centre de distribution de clés Kerberos (KDC), qui est un protocole d'authentification permettant de vérifier la légitimité des utilisateurs. Le KDC sécurise AD en créant et en distribuant un Ticket-Granting Ticket (TGT) unique aux utilisateurs autorisés uniquement. Ce ticket crypté empêche les utilisateurs d'effectuer des activités malveillantes sur le réseau et limite leur session de navigation à une durée spécifique, généralement pas plus de 10 heures.
Lorsque vous créez un domaine dans AD, vous obtenez automatiquement un compte KRBTGT. L'auteur des attaques Golden Ticket compromet les données de votre compte pour interagir avec le contrôleur de domaine AD des manières suivantes.
Collecte d'informations
L'attaquant commence par collecter des informations sur votre compte, en particulier votre nom de domaine complet (FQDN), votre identifiant de sécurité et votre hachage de mot de passe. Il peut utiliser des techniques de phishing pour collecter vos données, ou mieux encore, infecter votre appareil avec des logiciels malveillants et obtenir ces détails lui-même. Il peut choisir une attaque par force brute dans le processus de collecte d'informations.
Fraude aux billets
L'auteur de la menace peut être en mesure de voir vos données Active Directory lorsqu'il accède à votre compte à l'aide de vos identifiants de connexion, mais il ne peut pas effectuer les activités à ce stade. Il doit générer des tickets légitimes pour le contrôleur de domaine. Le KDC crypte tous les tickets qu'il génère avec son hachage de mot de passe KRBTGT, de sorte qu'un pirate devrait faire de même en volant le fichier NTDS.DIT, en lançant une attaque DCSync ou en profitant des vulnérabilités des terminaux.
Maintenir un accès à long terme
Étant donné que l'obtention du hachage du mot de passe KRBTGT donne au pirate un accès illimité à votre système, il en tire le meilleur parti. Il n'est pas pressé de partir mais reste inaperçu en arrière-plan, mettant vos données en danger. Il peut même usurper l'identité des utilisateurs disposant de l'accès privilégié le plus élevé sans éveiller les soupçons. Vérifier Cyberattaques contre les soins de santé : comment elles se produisent et ce que vous pouvez faire.
Façons d'empêcher une attaque de billet d'or
Les attaques Golden Ticket sont considérées parmi les cyberattaques les plus dangereuses en raison de la liberté du pirate d'effectuer diverses activités. Vous pouvez minimiser leur occurrence avec les mesures de cybersécurité suivantes.
1. Gardez vos informations d'identification d'administrateur privées
Comme la plupart des autres attaques, l'attaque du ticket d'or repose sur la capacité du criminel à récupérer les informations d'identification sensibles du compte. Sécurisez les données de référence en limitant le nombre de personnes pouvant y accéder.
Les informations d'identification les plus précieuses se trouvent dans les comptes d'utilisateurs administratifs. En tant qu'administrateur réseau, vous devez au moins restreindre vos privilèges d'accès. Votre système est plus à risque lorsque plus de personnes ont accès aux privilèges d'administrateur.
2. Identifiez et résistez aux tentatives de phishing
Restreindre les droits d'administrateur est un moyen d'empêcher le vol d'informations d'identification. Si vous bloquez cette fenêtre, le pirate aura recours à d'autres méthodes comme Attaques d'hameçonnage. Le phishing est plus psychologique que technique, vous devez donc être préparé mentalement à l'avance pour le détecter.
reconnait moi Divers scénarios et techniques de phishing. Plus important encore, méfiez-vous des messages provenant d'étrangers cherchant des informations personnellement identifiables sur vous ou votre compte. Certains criminels ne vous demanderont pas directement vos informations d'identification, mais vous enverront des e-mails, des liens ou des pièces jointes infectés. Si vous ne pouvez garantir aucun contenu, ne l'ouvrez pas.
3. Sécurisez Active Directory avec la sécurité Zero Trust
Les informations critiques dont les pirates ont besoin pour mener des attaques par ticket d'or se trouvent dans vos répertoires Active Directory. Malheureusement, les vulnérabilités des terminaux peuvent apparaître à tout moment et persister avant que vous ne les remarquiez. Mais la présence de vulnérabilités ne nuit pas nécessairement à votre système. Ils deviennent malveillants lorsque des pirates les identifient et les exploitent.
Vous ne pouvez pas garantir que les utilisateurs ne s'engageront pas dans des activités qui pourraient mettre vos données en danger. Mettez en œuvre une sécurité Zero Trust pour gérer les risques de sécurité des personnes visitant votre réseau, quels que soient leurs privilèges ou leur statut. Considérez tout le monde comme une menace, car leurs actions pourraient mettre vos données en danger. Vérifier Qu'est-ce que la sécurité sans connaissance et pourquoi est-elle importante aujourd'hui ?
4. Changez régulièrement le mot de passe de votre compte KRBTGT
Le mot de passe de votre compte KRBTGT est le ticket d'or de l'attaquant pour accéder à votre réseau. Le verrouillage de votre mot de passe crée une barrière entre celui-ci et votre compte. Supposons qu'un criminel est déjà entré dans votre système après avoir récupéré le hachage du mot de passe. La durée par défaut dépend de la validité du mot de passe. Si vous le changez, il ne pourra pas fonctionner.
Vous avez tendance à ignorer l'attaquant du golden ticket dans votre système. Prenez l'habitude de changer régulièrement votre phrase secrète même si vous ne soupçonnez pas d'attaque. Cette action unique révoque les privilèges d'accès des utilisateurs non autorisés qui ont déjà accès à votre compte.
Microsoft conseille spécifiquement aux utilisateurs de changer régulièrement les mots de passe de leur compte KRBTGT pour empêcher les criminels d'obtenir un accès non autorisé. Vérifier Comment accéder en toute sécurité à votre routeur Wi-Fi de n'importe où.
5. Adoptez la surveillance des menaces humaines
La recherche active de menaces dans votre système est l'un des moyens les plus efficaces de détecter et de contenir les attaques golden ticket. Ces attaques sont non invasives et s'exécutent en arrière-plan, vous pouvez donc ne pas être au courant d'une brèche car les choses peuvent sembler normales en surface.
Le succès des attaques Golden Ticket réside dans la capacité du criminel à agir en tant qu'utilisateur autorisé, en profitant de son privilège d'accès. Cela signifie que les moniteurs automatiques de menaces peuvent ne pas détecter ses activités car elles ne sont pas inhabituelles. Vous avez besoin de compétences humaines en matière de surveillance des menaces pour les détecter. En effet, les humains ont un sixième sens pour identifier les activités suspectes même lorsque l'intrus prétend être une entité légitime. Vérifier Qu'est-ce que l'authentification par défi-réponse (CRAM) et pourquoi est-elle importante ?
Sécurisez les informations d'identification sensibles contre les attaques par ticket d'or
Les cybercriminels n'obtiendront pas un accès illimité à votre compte lors d'une attaque au ticket d'or sans exploits de votre part. Aussi souvent que des vulnérabilités de sécurité inattendues surviennent, vous pouvez mettre en place des mesures pour les atténuer à l'avance.
La sécurisation de vos informations d'identification de base, en particulier le hachage de votre mot de passe de compte KRBTGT, laisse aux pirates des options très limitées pour pirater votre compte. Vous pouvez contrôler votre réseau par défaut. L'attaquant s'appuie sur votre négligence en matière de sécurité pour prospérer. Ne lui en donnez pas la chance. Vous pouvez voir maintenant Conseils de sécurité basés sur le comportement que vous devez suivre pour rester en sécurité en ligne.
