Explication de l'attaque Pass-the-Ticket : Risques, Exemples et Stratégies de Défense

Qu'est-ce qu'une attaque Pass-the-Ticket ?

Une attaque Pass-the-Ticket (PtT) est une technique utilisée par les attaquants pour voler un ticket Kerberos valide, typiquement un Ticket Granting Ticket (TGT) ou un Ticket Granting Service (TGS), et le réutiliser pour se faire passer pour l'utilisateur légitime. Parce que l'attaquant présente un ticket Kerberos déjà émis et cryptographiquement valide, il peut accéder aux ressources du réseau sans avoir besoin du mot de passe de l'utilisateur et même contourner l'authentification multi-facteurs (MFA). Encore une fois, puisque ces tickets sont cryptographiquement valides, il est difficile de détecter leur mauvais usage sans surveiller les comportements ou les modèles d'accès inhabituels.

Les attaquants combinent souvent PtT avec Golden Ticket, Silver Ticket et Kerberoasting pour élever les privilèges et maintenir un accès discret et persistant dans un environnement de domaine Windows.

Comment fonctionne une attaque Pass-the-Ticket ?

Une attaque Pass-the-Ticket se déroule en une série de mouvements discrets : l'attaquant obtient un accès non autorisé au réseau, dérobe un ticket Kerberos valide de la mémoire et le rejoue pour se faire passer pour l'utilisateur. Cela transforme un ticket volé en un accès étendu aux ressources sur site et dans le cloud.

Voici comment se déroule chaque étape de l'attaque.

1. Compromis initial

L'attaquant obtient un accès initial au réseau par des tactiques telles que le phishing, les logiciels malveillants ou des identifiants volés, et peut ensuite effectuer une élévation de privilèges locale pour accéder à la mémoire du processus LSASS (Local Security Authority Subsystem Service) où sont stockés les tickets Kerberos.

2. Extraction de billets

En utilisant des outils tels que Mimikatz, Rubeus, Kekeo ou Creddump7, l'attaquant extrait les Ticket Granting Tickets (TGTs) et les Ticket Granting Services (TGSs) de la mémoire LSASS.

3. Injection de ticket

L'attaquant injecte le ticket volé dans sa propre session (par exemple, avec mimikatz kerberos::ptt). Cela permet à l'attaquant de se faire passer pour le compte légitime.

4. Mouvement latéral

Muni d'un billet valide, l'attaquant accède à d'autres machines, partages de réseau ou services à travers le domaine, contournant les vérifications de mot de passe et MFA.

5. Élévation de privilèges

À partir de systèmes nouvellement compromis, l'attaquant dérobe des tickets appartenant à des comptes à privilèges plus élevés, disons des administrateurs de domaine, pour un contrôle accru.

6. Persistance

Les attaquants profitent de la durée de vie par défaut du ticket Kerberos (environ 10 heures) en réutilisant ou en renouvelant les tickets volés avant leur expiration. Ils ont tendance à automatiser ce processus d'extraction ou de rafraîchissement périodique des tickets pour maintenir un accès continu. Pour une persistance à long terme, ils peuvent créer un Golden Ticket, qui est un Ticket-Granting Ticket falsifié signé avec la clé KRBTGT du domaine. Ce Golden Ticket offre un accès illimité et indétectable jusqu'à ce que la clé soit réinitialisée.

7. Compromis du Cloud hybride

Dans les environnements à authentification unique ou hybrides, l'attaquant peut utiliser des jetons Kerberos volés pour accéder à des services cloud tels que Microsoft 365 et Microsoft Entra ID.

Diagramme de flux d'attaque

Le scénario d'exemple suivant peut vous aider à comprendre à quoi peut ressembler une attaque Pass-the-Ticket dans une situation réelle.

Un employé d'une entreprise de services financiers télécharge involontairement un logiciel malveillant à partir d'un e-mail de phishing, entraînant une violation de sécurité. L'attaquant exploite une vulnérabilité locale pour obtenir des privilèges SYSTEM et décharge la mémoire LSASS pour voler un ticket Kerberos de délivrance de tickets. En injectant ce ticket valide dans leur propre session, l'attaquant se déplace latéralement vers les serveurs de fichiers et le poste de travail d'un administrateur de domaine, récolte des tickets de plus haut privilège et finit par maintenir une persistance dans le domaine. Comme les environnements on-prem et cloud de l'entreprise sont liés, l'attaquant réutilise les informations d'identification Kerberos volées pour accéder aux boîtes aux lettres Microsoft 365 et aux ressources Microsoft Entra ID, tout en apparaissant comme un utilisateur légitime. Les équipes de sécurité restent inconscientes jusqu'à ce que des données sensibles aient été exfiltrées.

Le schéma illustre une chaîne d'attaque Pass-the-Ticket typique, depuis le premier point d'ancrage dans le réseau jusqu'à la persistance non détectée à travers le réseau.

Exemples d'une attaque Pass-the-Ticket

Les techniques de Pass-the-Ticket sont largement utilisées par les attaquants avancés et les groupes de rançongiciels, comme le montrent les cas réels suivants.

Conséquences de l'attaque Pass-the-Ticket

Les conséquences d'une attaque Pass-the-Ticket peuvent être graves et toucher plusieurs dimensions.

Cibles courantes d'une attaque Pass-the-Ticket : Qui est à risque ?

Les organisations qui dépendent de Windows Active Directory et de l'authentification Kerberos sont des cibles privilégiées pour les attaques Pass the Ticket. Les environnements avec de nombreux comptes privilégiés, des tickets mis en cache et des systèmes interconnectés offrent également des conditions favorables pour un accès large et non détecté avec des tickets volés. Parmi les cibles communes, on trouve :

Utilisateurs et rôles à risque

Tout compte qui détient ou met en cache régulièrement des tickets Kerberos, en particulier ceux disposant de privilèges élevés ou d'un large accès réseau, est une cible de choix.

Évaluation des risques

Les niveaux de risque pour l'attaque Pass-the-Ticket sont basés sur son impact, les prérequis et l'utilisation observée par des acteurs de menaces avancées.

Comment prévenir les attaques Pass-the-Ticket

Pour réduire les risques d'une attaque Pass-the-Ticket, les organisations devraient mettre en œuvre des mesures telles que le renforcement du système d'exploitation, la limitation de la durée de vie des tickets, la minimisation de l'exposition administrative et la détection des activités suspectes.

Activez Credential Guard

Windows Defender Credential Guard isole le processus LSASS dans un environnement virtualisé sécurisé. Son activation sur tous les systèmes Windows compatibles réduit considérablement le risque de vol de tickets, car cela empêche les attaquants de dérober des tickets Kerberos ou d'autres identifiants de la mémoire LSASS.

Limiter la durée de vie du ticket

La durée de vie par défaut d'un Ticket Granting Ticket (TGT) est de 10 heures. Vous pouvez réduire cette durée de vie et imposer des périodes de renouvellement plus courtes, de sorte que tout ticket volé devienne rapidement invalide. Cela réduit au minimum la fenêtre d'opportunité pour un attaquant de réutiliser un ticket.

Appliquez les principes du moindre privilège

En règle générale, n'accordez des droits d'administrateur que lorsqu'ils sont nécessaires et découragez l'utilisation de justificatifs d'administrateur partagés. Utilisez un accès basé sur les rôles afin que chaque utilisateur obtienne juste l'accès que son travail exige. En limitant le nombre de comptes privilégiés et leur portée, vous réduisez les chances pour les attaquants d'obtenir l'accès dont ils ont besoin pour voler des tickets Kerberos.

Évitez la mise en cache des tickets sur les systèmes à haute valeur

Les systèmes à haute valeur peuvent inclure des contrôleurs de domaine, des serveurs PKI et des hôtes d'applications critiques. Configurez-les pour éviter de stocker les TGT en mémoire ou sur disque. Si aucun ticket n'est mis en cache, il n'y a rien à voler pour un attaquant même si le système est compromis.

Former les utilisateurs Privileged Access Management

L'erreur humaine est une cause fréquente de violations de la sécurité, des études la citant comme raison pour 74% à plus de 90% des incidents. Dans cette optique, il est important d'éduquer les administrateurs et autres utilisateurs à privilèges élevés pour éviter de se connecter à des hôtes non fiables ou de niveau inférieur. Utiliser des identifiants d'admin uniquement sur des postes de travail de gestion renforcés réduit considérablement le risque que leurs tickets Kerberos soient exposés aux attaquants.

Utilisez l'authentification basée sur les certificats (PKINIT)

Mettez en œuvre Kerberos PKINIT (connexion par carte à puce) pour passer d'une authentification basée sur les mots de passe à une authentification basée sur les certificats. Chaque ticket Kerberos contient alors la preuve d'un certificat cryptographique valide, ce qui rend les tickets volés inutiles pour un attaquant et renforce la chaîne d'authentification Kerberos.

Appliquez les correctifs régulièrement

Rappelez-vous de l'attaque rançongiciel WannaCry en 2017, où un cryptover a exploité une vulnérabilité non corrigée dans les systèmes Windows ! Pour éviter de tels incidents, vous devez maintenir les contrôleurs de domaine, les Key Distribution Centers (KDCs) et tous les systèmes Windows entièrement mis à jour. Les mises à jour opportunes ferment les vulnérabilités connues d'élévation de privilèges et de vol d'identifiants qui pourraient autrement conduire à un compromis de ticket.

Renforcer les points d'extrémité

Appliquez des bases de sécurité solides à tous les serveurs et postes de travail. Cela inclut la désactivation des services inutiles, l'application de politiques d'authentification renforcées, l'activation de la protection contre les altérations et le déploiement d'outils de détection et de réponse aux incidents de pointe (EDR) réputés. Un point de terminaison renforcé rend beaucoup plus difficile pour les attaquants d'obtenir l'accès de haut niveau nécessaire pour extraire les tickets Kerberos.

Segmentez le réseau : Contenez les chemins de mouvement latéral à travers les systèmes.

Utilisez la segmentation réseau et l'administration en couches pour limiter les mouvements latéraux. Avec ces barrières en place, les attaquants peuvent utiliser un ticket Kerberos volé uniquement dans un segment limité, plutôt que de se déplacer librement dans l'environnement.

Comment Netwrix peut aider

La solution Netwrix ITDR (Identity Threat Detection and Response) peut détecter, contenir et répondre aux attaques Pass-the-Ticket et autres attaques basées sur Kerberos. En combinant la surveillance en temps réel, l'analytique et la remédiation automatisée, elle aide les organisations à repérer rapidement les activités suspectes de tickets et à arrêter les mouvements latéraux.

• Surveillance en temps réel : Netwrix ITDR surveille en continu votre infrastructure d'identité, détectant des anomalies telles que des demandes inhabituelles de tickets Kerberos, des durées de vie de tickets anormales et des modèles de connexion irréguliers.
• Analytique comportementale : La solution utilise l'analytique comportementale pour identifier les écarts par rapport au comportement utilisateur normal, tels que les demandes de TGS inattendues, les tentatives d'authentification à des heures inhabituelles et les modèles d'accès inhabituels à travers le réseau.
• Mécanismes d'alerte : ITDR offre des alertes pour des signes de mésusage des identifiants, tels que des tickets identiques utilisés sur plusieurs machines. Cela aide les administrateurs à répondre rapidement aux activités suspectes de PtT.
• Réponse automatisée aux incidents : ITDR automatise les réponses aux menaces détectées, telles que la révocation des tickets compromis, la mise en quarantaine des points de terminaison affectés et la réinitialisation des mots de passe pour les comptes impactés afin de contenir une attaque sans délai.
• Isolation de session : Elle aide à mettre en quarantaine ou à isoler les points de terminaison affectés et les sessions d'utilisateurs. De cette manière, les attaquants qui ont injecté des tickets Kerberos volés dans leurs sessions ne peuvent pas se déplacer latéralement.
• Intégration avec UEBA et SIEM : En intégrant avec UEBA (User and Entity Behavior Analytics) et SIEM (Security Information and Event Management), ITDR assure un suivi complet et comble les lacunes de corrélation qui peuvent détecter l'abus de credentials.
• Application SACL: Elle vous permet d'appliquer sélectivement des Listes de contrôle d'accès système (SACLs) aux objets et systèmes AD à haut risque, ce qui aide à surveiller les changements ou l'accès à ces objets, ainsi qu'à surveiller l'accès aux tickets et les chemins d'exploitation potentiels.
• Planification de la réponse : Netwrix ITDR aide les équipes de sécurité à créer des playbooks de récupération, garantissant qu'un domaine ou même une forêt entière soit restauré rapidement en cas de compromission. Il équipe également les équipes pour être prêtes à réinitialiser les identifiants compromis et examiner les journaux d'accès suspects liés à l'activité des tickets.

Stratégies de détection, d'atténuation et de réponse

Pour contenir les attaques Pass-the-Ticket, les organisations devraient combiner une détection solide, une atténuation proactive et une réponse rapide aux incidents.

Détection

Pour détecter une attaque PtT de manière précoce, les organisations doivent surveiller en continu les événements de sécurité majeurs et les modèles de comportement. Et la détection précoce est cruciale car les attaquants peuvent se déplacer latéralement dès qu'ils volent un ticket Kerberos.

• Surveillez les ID d'événements 4768, 4769, 4624 (type 3), 4672 : Suivez ces ID d'événements pour détecter une activité d'authentification inhabituelle. L'Observateur d'événements Windows est pratique pour des vérifications ponctuelles et dans des petits environnements, mais il n'est pas évolutif pour une surveillance 24/7. Pour une détection à l'échelle de l'entreprise, configurez une redirection continue vers un système SIEM avec des alertes ajustées pour ces ID d'événements et des modèles suspects tels que des durées de ticket inhabituelles ou des connexions à partir de points d'extrémité inattendus. Voici ce que représente chaque ID :
  • 4768 : Demande de TGT (Ticket Granting Ticket) Kerberos
  • 4769 : Demande de ticket de service (TGS)
  • 4624 (Type 3) : Connexion réseau
  • 4672 : Des privilèges spéciaux attribués à une nouvelle connexion (par exemple, des droits d'administrateur)
• Surveillez les modèles suspects, tels que :
  • Demandes TGS sans TGT récents du même hôte - Cela peut indiquer des tickets falsifiés ou rejoués
  • Les connexions depuis des points de terminaison inhabituels ou à des heures étranges - Indiquent un mouvement latéral ou des comptes compromis
  • Les journaux avec des champs manquants tels que Domaine du compte ou GUID de connexion - Peuvent indiquer des tickets altérés ou contrefaits
  • Des billets identiques utilisés sur plusieurs machines - Suggère une réutilisation ou une relecture des billets
  • Durées de vie inhabituelles des tickets ou horodatages d'expiration falsifiés - Un signe distinctif des attaques Golden Ticket
• Surveillez l'utilisation d'outils comme Mimikatz, Rubeus, Kekeo, etc. : Détectez les tentatives d'exécution d'outils tels que Mimikatz, Rubeus ou Kekeo, que les attaquants utilisent pour extraire et injecter des tickets Kerberos. Utilisez un EDR ou un antivirus pour signaler les signatures connues et les accès suspects à la mémoire LSASS, activez une journalisation Windows/Sysmon détaillée (par exemple, l'événement 4688 pour la création de processus, l'événement 10 pour l'accès LSASS), et transférez ces journaux vers un SIEM pour des alertes en temps réel.
• Exploitez UEBA et SIEM : Utilisez les plateformes UEBA et SIEM pour détecter l'activité Pass-the-Ticket en corrélant les journaux d'authentification, les événements Kerberos et le comportement des utilisateurs à travers l'environnement. Cette approche centralisée met en évidence des anomalies, telles que des heures de connexion inhabituelles, des durées de vie de ticket anormales et des tickets identiques sur plusieurs hôtes, que la surveillance isolée des systèmes pourrait ne pas remarquer.
• Appliquez des SACLs aux comptes et systèmes AD sensibles : Les Listes de contrôle d'accès système (SACLs) génèrent des journaux d'audit détaillés chaque fois que des tickets Kerberos sont demandés ou utilisés, afin que vous puissiez auditer et suivre l'accès aux tickets Kerberos pour les ressources à haute valeur.

Atténuation

Des mesures proactives peuvent considérablement réduire les chances d'une attaque Pass-the-Ticket réussie et invalider les tickets volés avant qu'ils ne puissent être abusés.

• Faites pivoter le mot de passe du compte KRBTGT deux fois : Effectuez une double rotation du mot de passe sur le compte KRBTGT pour invalider tous les tickets Kerberos existants, y compris les Golden Tickets que les attaquants auraient pu forger. Ainsi, seuls les tickets nouvellement émis restent valides.
• Utilisez Credential DoubleTap : Lorsqu'un compte d'utilisateur ou de service est compromis, réinitialisez rapidement son mot de passe deux fois. Cela garantit que tous les tickets Kerberos émis sous les anciens hachages de mot de passe sont immédiatement rendus inutilisables.
• Appliquez l'isolement de session et purgez les tickets mis en cache : Il est nécessaire que les administrateurs se connectent uniquement à partir de postes de travail de gestion sécurisés, afin de séparer les sessions privilégiées des terminaux de tous les jours. Il est également important de planifier régulièrement des tâches de purge klist pour supprimer les tickets Kerberos mis en cache de la mémoire, minimisant ainsi ce qu'un attaquant pourrait dérober.

Réponse

Lorsqu'un incident de type Pass-the-Ticket est détecté, une contention rapide et une remédiation approfondie sont essentielles pour arrêter les mouvements latéraux et restaurer un état sécurisé.

• Mettre en quarantaine les points de terminaison compromis : Isoler immédiatement les machines affectées du réseau manuellement ou via des outils de réponse automatisés pour arrêter les mouvements latéraux.
• Réinitialisez les mots de passe des utilisateurs affectés et des comptes admin : Changez les mots de passe pour tous les comptes qui auraient pu avoir des tickets Kerberos volés, y compris les comptes de service et administratifs. Cela invalide instantanément tous les tickets dérivés de leurs anciennes informations d'identification.
• Examinez les modèles d'accès et les journaux : Examinez les journaux d'événements Kerberos, les tentatives d'authentification et l'activité des tickets pour retracer le chemin de l'attaquant et identifier comment l'attaque s'est propagée.
• Révoquer les sessions actives et expirer les tickets : Révoquez l'accès par l'invalidation de session ou l'expiration forcée de ticket. Cela forcera les déconnexions, invalidera les sessions Kerberos et réduira la durée de vie des tickets, garantissant que les tickets volés ou rejoués ne puissent plus être utilisés.

Impact spécifique à l'industrie

Les attaques Pass-the-Ticket (PtT) peuvent toucher tous les secteurs, mais les conséquences varient en fonction du type de données et de systèmes gérés par une organisation.

Évolution des attaques & tendances futures

Avec le temps et la technologie, les attaques PtT ont évolué vers des techniques plus rapides et plus automatisées. Voici quelques tendances qui mettent en évidence comment le PtT devient plus sophistiqué et plus difficile à détecter.

Automatisation par le Scripting et les outils Red-Team

Les attaquants s'appuient désormais sur des outils tels que Mimikatz pass the ticket, Rubeus et Impacket pour scripter chaque étape d'une attaque PtT, de l'extraction du ticket à l'injection. Cela réduit l'effort manuel et facilite les compromissions rapides et à grande échelle. Ces outils sont personnalisables (par exemple, les commandes peuvent être modifiées et des plugins ajoutés) et ils s'intègrent facilement dans des workflows automatisés de tests de pénétration ou d'équipes d'intervention. En conséquence, les attaquants peuvent réaliser plusieurs actions, telles que l'extraction de ticket, l'escalade de privilèges et le mouvement latéral dans une séquence automatisée unique. Dans l'ensemble, cela signifie que même des adversaires moins expérimentés peuvent lancer une attaque PtT.

Combiner PtT avec d'autres exploits Kerberos

Les rapports récents sur les violations en plusieurs étapes montrent que les intrusions n'impliquent que rarement le PtT seul. Les acteurs de la menace le combinent avec d'autres abus de Kerberos, tels que le Kerberoasting, le Pass-the-Hash (PtH), et les techniques de Silver ou Golden Ticket pour lancer une attaque coordonnée qui leur permet de se déplacer à travers les systèmes, d'éviter la détection, d'escalader les privilèges et d'établir un accès à long terme au sein des réseaux d'entreprise.

Token Bridging : Extension des attaques PtT dans le Cloud

Alors que les organisations adoptent des solutions d'Identity Management hybrides, les attaquants explorent des moyens d'utiliser les tickets Kerberos locaux pour obtenir des jetons d'authentification dans le cloud. Dans les scénarios de « pontage de jetons », un ticket Kerberos volé peut être échangé contre des jetons SAML ou OIDC. Cela accorde à l'attaquant un accès non autorisé aux applications SaaS et aux charges de travail dans le cloud, étendant ainsi efficacement une attaque PtT dans le cloud - où la surveillance traditionnelle locale peut ne pas détecter l'intrusion.

Utilisation de LOLBins avec PtT pour la discrétion

Les attaquants transforment les utilitaires Windows du quotidien, connus sous le nom de binaires vivant sur la terre (LOLBins), en armes furtives. Des outils comme klist, runas et les commandes PowerShell courantes sont préinstallés et signés par Microsoft, donc ils semblent parfaitement légitimes. Lorsque les acteurs de menaces les utilisent pour mener des attaques Pass-the-Ticket, leur activité se confond avec le travail administratif normal, rendant plus difficile pour les défenseurs de distinguer un comportement malveillant d'une gestion de système de routine.

Statistiques clés & Infographies

Le vol de ticket Kerberos reste l'une des méthodes les plus efficaces pour que les attaquants se déplacent latéralement et restent cachés. Ces faits rapides soulignent pourquoi la défense Pass-the-Ticket nécessite une attention constante :

• Par défaut, un Ticket-Granting Ticket (TGT) volé peut être réutilisé pendant jusqu'à 10 heures et renouvelé pendant une semaine entière, à moins que les administrateurs ne définissent des politiques qui réduisent la durée de vie.
• Les TGT volés peuvent contourner l'authentification multifacteur, les politiques de mot de passe et les protections de verrouillage.
• Plus de 60 % des campagnes de mouvement latéral utilisent une forme d'attaque de ticket Kerberos.
• L'authentification Smartcard (PKINIT) peut bloquer plus de 90 % des vecteurs PtT.
• L'abus de Golden Ticket peut persister pendant des mois si la rotation de KRBTGT n'est pas appliquée.

Le graphique à barres suivant met en évidence des données critiques liées au risque et à l'atténuation de Kerberos.

Réflexions finales

Les tickets Kerberos sont les clés de votre royaume et doivent être protégés comme des joyaux de la couronne. Les organisations devraient renforcer les points de terminaison, raccourcir la durée de vie des tickets et surveiller sans relâche, car les attaquants se déplacent rapidement - ils scannent le réseau automatiquement, saisissent les tickets Kerberos en quelques secondes et se déplacent à travers les systèmes avant que la plupart des équipes ne le remarquent. La défense exige une urgence égale - une surveillance continue de Kerberos et la fermeture rapide de toute session suspecte. Renforcez vos systèmes d'authentification maintenant ou risquez de regarder les intrus utiliser vos propres identifiants pour entrer directement par les portes.