Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Trouver des autorisations Active Directory abusables avec BloodHound

Trouver des autorisations Active Directory abusables avec BloodHound

Dec 9, 2022

BloodHound est un outil puissant qui identifie les vulnérabilités dans Active Directory (AD). Les cybercriminels abusent de cet outil pour visualiser les chaînes de permissions abusables d'Active Directory qui peuvent leur permettre d'obtenir des droits élevés, y compris l'appartenance au puissant groupe des administrateurs de domaine.

Ce guide est conçu pour aider les testeurs d'intrusion à utiliser BloodHound afin d'identifier ces vulnérabilités en premier, permettant ainsi aux entreprises de déjouer les attaques.

Contenu connexe sélectionné :

Meilleures pratiques de sécurité pour Active Directory

Qu'est-ce que BloodHound et comment fonctionne-t-il ?

BloodHound est un outil de reconnaissance et de gestion des chemins d'attaque Active Directory qui utilise la théorie des graphes pour identifier les relations cachées, les permissions des utilisateurs, les sessions et les chemins d'attaque dans un domaine Windows source. Son objectif principal est de fournir aux experts en cybersécurité les informations nécessaires pour défendre leur écosystème informatique contre les acteurs de menaces.

Comment fonctionne BloodHound ? Il s'agit d'une application web JavaScript monopage compilée avec Electron, qui stocke les objets AD Windows sous forme de nœuds dans une base de données Neo4j. Il possède un ingesteur PowerShell et prend en charge Azure à partir de la version 4.0.

Audit et Reporting d'Active Directory

En savoir plus

Collecte des permissions Active Directory

Parce que BloodHound est un outil de visualisation et d'analyse de données, vous devriez l'utiliser avec un outil de collecte de données tel que SharpHound ou AzureHound. Pour collecter l'ensemble de vos permissions Active Directory, suivez les étapes suivantes :

  1. Tout d'abord, téléchargez et installez la dernière version de AzureHound ou SharpHound, puis exécutez-la.
  2. Par défaut, cela créera plusieurs fichiers JSON et les placera dans un fichier zip. Glissez-déposez ce fichier zip dans BloodHound.
  3. Explorez les données en utilisant BloodHound comme décrit ci-dessous.

Comment BloodHound fonctionne avec les permissions Active Directory

BloodHound permet aux testeurs de pénétration AD de cartographier les chemins d'attaque — des chaînes de permissions d'accès et d'autres vulnérabilités de sécurité qui pourraient permettre aux attaquants de se déplacer latéralement et d'élever leurs privilèges dans l'environnement. Par exemple, ils peuvent utiliser la barre de recherche pour trouver le groupe Domain Users et vérifier si le groupe dispose de droits d'administrateur local quelque part et quels objets AD il contrôle.

Le fait est qu'au fil des années, de nombreuses organisations perdent le contrôle de leurs permissions Active Directory. À mesure que l'entreprise se développe et évolue, l'organisation oublie de retirer les droits dont les utilisateurs n'ont plus besoin, créant des vulnérabilités dont les attaquants peuvent tirer parti.

Les privilèges qui sont souvent abusés incluent :

  • Réinitialiser le mot de passe — Le droit de changer le mot de passe d'un compte utilisateur sans connaître son mot de passe actuel
  • Ajouter des membres — La capacité d'ajouter des utilisateurs à un groupe particulier
  • Contrôle total — Le droit de faire tout ce que vous voulez à un utilisateur ou à un groupe
  • Écrire Propriétaire / Écrire DACL — Le droit de modifier les permissions et la propriété d'un objet
  • Rédiger — La capacité à écrire les attributs d'objet
  • Droits étendus — Une combinaison de divers droits, y compris Réinitialiser le mot de passe (pour une référence complète de TechNet, cliquez ici)

Comment utiliser BloodHound pour collecter les autorisations Active Directory

La première étape dans la cartographie des chemins d'attaque est la collecte des autorisations. Sur un ordinateur joint au domaine dont vous souhaitez recueillir les autorisations, exécutez la commande PowerShell suivante :

      Invoke-Bloodhound -CollectionMethod ACLs
Image

Cela créera un export CSV de toutes les permissions Active Directory, que nous importerons ensuite dans BloodHound.

Exemples de chemins d'attaque

Examinons plusieurs exemples de chemins d'attaque.

Chemin d'attaque 1 : Réinitialisation du mot de passe

Le premier chemin d'attaque BloodHound que nous allons explorer est la capacité de réinitialiser les mots de passe des utilisateurs.

La capacité de réinitialiser un mot de passe apparaîtra dans BloodHound comme un chemin d'attaque étiqueté « ForceChangePassword » :

Image

En liant ensemble plusieurs réinitialisations de mot de passe, il peut être possible de passer d'un compte non privilégié à un Domain Admin, comme illustré ci-dessous :

Image

Notez que si un utilisateur utilise activement son compte, il remarquera si son mot de passe est réinitialisé. Par conséquent, un attaquant pourrait vérifier la dernière heure de connexion du compte pour voir s'il peut effectuer une réinitialisation de mot de passe sans être découvert.

Chemin d'attaque 2 : Appartenance à un groupe

Une autre voie d'attaque abuse de la capacité à écrire des membres dans des groupes. En ajoutant des utilisateurs aux groupes, un attaquant peut progressivement élever son accès jusqu'à pouvoir s'ajouter à un groupe qui a accès aux données sensibles qu'il cible. Cette approche est très utile aux adversaires car ils ont rarement besoin d'être membre d'un groupe hautement privilégié comme les Domain Admins pour accéder aux données qu'ils désirent, et l'ajout d'un utilisateur à des groupes moins privilégiés déclenche rarement des alarmes.

Dans BloodHound, la capacité de modifier un groupe apparaîtra dans un chemin d'attaque avec l'étiquette « AddMember », comme indiqué ci-dessous :

Image

En reliant un certain nombre de modifications d'appartenance à des groupes, un attaquant peut progressivement augmenter ses droits jusqu'à atteindre sa cible. L'exemple illustre comment un utilisateur non privilégié peut devenir un administrateur de domaine grâce à des modifications d'appartenance à des groupes :

Image

Chemin d'attaque 3 : Modifier les autorisations

Modifier les permissions d'un objet vous permet de faire pratiquement tout ce que vous voulez. Par exemple, vous pouvez vous octroyer le droit de modifier l'appartenance à un groupe, réinitialiser un mot de passe ou extraire des informations précieuses à partir des attributs étendus. Cela est particulièrement dangereux lors de l'utilisation de Local Administrator Password Solution (LAPS).

Dans BloodHound, la capacité de modifier les permissions d'un objet sera étiquetée « WriteDacl » :

Image

En liant ensemble plusieurs changements de permissions, un attaquant peut se déplacer latéralement et obtenir des droits élevés, comme montré ci-dessous :

Image

Chemin d'attaque 4 : Attaques combinées

La plupart des chemins d'attaque impliquent plusieurs types de permission. L'exemple ci-dessous illustre trois chemins d'attaque partant du compte utilisateur non privilégié « Michael » vers un compte d'administrateur de domaine :

Image

Comment Netwrix peut vous aider à vous protéger contre les attaques de permissions Active Directory

Pour améliorer votre sécurité, commencez par examiner les permissions mentionnées ci-dessus, car elles font partie des droits les plus souvent exploités.

BloodHound est un excellent moyen de visualiser les problèmes potentiels dans votre domaine Windows AD. Cependant, cela nécessite beaucoup de travail manuel. Par conséquent, votre équipe de cybersécurité pourrait ne pas être en mesure d'utiliser BloodHound pour protéger vos actifs et systèmes, surtout lorsqu'elle est déjà préoccupée par des projets et des demandes techniques.

L'une des meilleures façons de réduire la surface d'attaque de votre domaine Windows Active Directory est d'utiliser la solution de sécurité Active Directory end-to-end de Netwrix. Puissante, complète et conviviale, notre logiciel vous aide à sécuriser votre Active Directory, à prioriser vos efforts d'atténuation des risques et à renforcer votre posture de sécurité. Plus précisément, notre outil vous permet de :

  • Identifiez, évaluez et priorisez les risques dans votre posture de AD security
  • Protégez-vous contre le vol d'identité
  • Surveillez les changements de privilèges
  • Détectez et répondez rapidement aux menaces, y compris les menaces avancées telles que les attaques Golden Ticket et le Kerberoasting
  • Minimisez les perturbations commerciales avec une récupération AD à la vitesse de l'éclair

Demandez un essai gratuit de Netwrix Directory Manager

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Joe Dibley

Chercheur en sécurité

Chercheur en sécurité chez Netwrix et membre de l'équipe de recherche en sécurité de Netwrix. Joe est un expert en Active Directory, Windows et une grande variété de plateformes logicielles d'entreprise et de technologies, Joe étudie les nouveaux risques de sécurité, les techniques d'attaque complexes, ainsi que les atténuations et détections associées.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Qu'est-ce que la gestion des documents électroniques ?

Expressions régulières pour débutants : Comment commencer à découvrir des données sensibles

Partage externe dans SharePoint : Conseils pour une mise en œuvre judicieuse

Confiances dans Active Directory

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité