Les recherches récentes de Microsoft mettent en lumière une technique de post-exploitation dangereuse appelée dMSA doréCette nouvelle méthode d'attaque abuse de l'accès au niveau SYSTÈME sur les contrôleurs de domaine pour exécuter des charges utiles persistantes, y compris des ransomwares qui ciblent le cœur de Active DirectoryEn détournant les comptes de services gérés délégués (dMSA), les attaquants peuvent accéder aux données sans avoir à compromettre les informations d'identification traditionnelles.
Initialement introduit dans Windows Server 2025, comptes de services gérés délégués (dMSA) constituent une avancée majeure en matière de sécurité des comptes de service. Bien que les comptes statiques basés sur des mots de passe restent vulnérables Attaques KerberoastingLes dMSA modifient le modèle d'authentification en liant l'accès directement aux machines vérifiées dans Active Directory (UN D).
Cette approche centrée sur la machine élimine vol d'informations d'identification En liant l'accès à l'identité de l'appareil plutôt qu'à des mots de passe gérés par l'utilisateur, seules les machines explicitement autorisées peuvent exploiter le compte. Cependant, en cas d'abus après exploitation, les dMSA peuvent être utilisés par des attaquants pour exécuter du code malveillant depuis des infrastructures sécurisées à privilèges élevés.
Dans ce blog, nous allons expliquer comment fonctionne le flux d'attaque Golden dMSA, pourquoi il présente de multiples risques et comment les organisations peuvent sécuriser identités des machines avant que les attaquants ne le fassent.
Qu'est-ce que Golden dMSA ?
Golden dMSA est une technique de post-exploitation qui permet aux attaquants d'obtenir un accès à long terme dans Active Directory Environnements (AD) en générant des mots de passe valides pour les comptes de service gérés délégués (dMSA) et les comptes de service gérés de groupe (gMSA).
Cette méthode devient viable une fois que l'attaquant a obtenu un accès privilégié, comme des autorisations d'administrateur de domaine ou des autorisations de niveau SYSTÈME sur un contrôleur de domaine. Il peut alors exploiter une faille dans la façon dont ces autorisations fonctionnent. compte de service Les mots de passe sont générés. Le processus comprend des éléments prévisibles, temporels et à variabilité limitée, facilitant ainsi la rétro-ingénierie et la reproduction des mots de passe corrects.
Les attaquants peuvent ensuite générer des informations d’identification hors ligne et usurper l’identité de comptes de service critiques sur l’ensemble du domaine, contournant ainsi les contrôles de sécurité normaux et les mécanismes de rotation des mots de passe.
Comment se déroule une attaque Golden dMSA
Une attaque Golden dMSA débute généralement lorsqu'un attaquant s'introduit dans l'environnement et élève ses privilèges. À partir de là, la méthode permet une persistance discrète et une protection étendue. mouvements latéraux à travers Active Directory.
Voici comment se déroule l’attaque dMSA dorée typique :
1. Accès initial et escalade des privilèges
L'attaquant compromet un système au sein du domaine et accède à l'accès au niveau administrateur de domaine ou au niveau système sur un contrôleur de domaine, souvent par phishing, vol d'informations d'identification ou exploitation de mauvaises configurations.
2. Extraction de la clé racine KDS
Avec un accès privilégié, l'attaquant extrait la clé racine des services de distribution de clés (KDS), un secret cryptographique critique utilisé par Active Directory pour générer des mots de passe pour les comptes de services gérés.
3. Énumération des comptes de service
L'attaquant identifie les comptes de services gérés délégués (dMSA) et les comptes de services gérés groupés (gMSA) dans la forêt. Cela implique généralement d'interroger les noms de comptes et les identifiants associés à l'aide de LDAP ou d'autres outils d'annuaire.
4. Génération de mot de passe hors ligne
En raison d'une faiblesse dans l'algorithme de génération de mot de passe, l'attaquant peut forcer les valeurs et générer des mots de passe valides à l'aide d'outils comme Golden dMSA, sans déclencher d'alertes.
5. Impact post-exploit : déploiement de ransomware au niveau du SYSTÈME
Muni des identifiants des comptes de service, l'attaquant peut accéder de nouveau au contrôleur de domaine et opérer avec des privilèges de niveau SYSTÈME. Il peut ensuite :
- Altérer les processus de base comme LSASS (par exemple, pour un vidage ou une injection supplémentaire d'informations d'identification).
- Déployer ransomware à partir d'une machine centrale de haute confiance avec un accès à l'échelle du domaine.
- Déplacez-vous latéralement vers d’autres systèmes et infrastructures.
Cette étape de l'attaque est cruciale, car les ransomwares exécutés depuis un contrôleur de domaine bénéficient généralement d'une confiance étendue et peuvent se propager rapidement. La plupart des solutions EDR offrent une visibilité limitée sur les opérations au niveau du système, en particulier sur les contrôleurs de domaine. Pire encore, l'activité des comptes de service passe souvent inaperçue aux solutions de sécurité standard.
Comment Golden dMSA contourne les solutions de sécurité traditionnelles
Golden dMSA est particulièrement dangereux, non pas en raison de son intrusion, mais en raison de ses effets après l'accès. S'agissant d'une technique post-exploitation, la plupart des solutions de sécurité sont déjà hors de portée du contrôleur de domaine ciblé lorsqu'il est exploité.
La détection devient particulièrement difficile car les attaquants utilisent des identifiants légitimes et des privilèges élevés. Une fois qu'ils obtiennent un accès au niveau SYSTÈME, les outils de sécurité courants comme EDR et les antivirus peinent à fournir une visibilité ou à appliquer des contrôles dans ces contextes privilégiés.
Les mouvements latéraux entrent également en jeu, car ils se fondent dans l'activité administrative normale, rendant difficile la distinction entre les actions malveillantes et les opérations courantes du domaine. Étant donné qu'aucun malware ni exploit n'est nécessairement impliqué à ce stade, les systèmes de détection basés sur les signatures ou le comportement peuvent ne pas déclencher d'alertes.
En bref, une fois que les attaquants sont à l’intérieur du périmètre et exploitent Golden dMSA, les couches de sécurité habituelles offrent peu de résistance, ce qui rend la détection précoce et le renforcement des limites de privilèges essentiels.
SilverfortL'approche de prévention Golden dMSA
Même dans des scénarios de post-exploitation comme Golden dMSA où les outils de sécurité traditionnels sont souvent insuffisants, Silverfort protège l'accès direct et indirect aux contrôleurs de domaine avec authentification multi-facteur et des politiques d'accès strictes en temps réel qui empêchent activement les attaquants de progresser dans l'environnement.
Application de l'authentification multifacteur pour l'accès administrateur aux contrôleurs de domaine
Silverfort permet aux organisations d'appliquer authentification multi-facteur on toute tentative d'accès aux contrôleurs de domaine, comprenant:
- Sessions RDP (Remote Desktop Protocol)
- PsExec Exécutions
- Accès au partage de fichiers SMB
En appliquant l'authentification multifacteur (MFA) aux points d'accès traditionnellement non protégés tels que RDP et PsExec, Silverfort a la capacité de exiger des utilisateurs qu'ils vérifient leur identité avec MFA, ce qui peut empêcher un attaquant de se déplacer latéralement dans un environnement. Cela perturbe la capacité de l'attaquant à exploiter les identifiants générés par Golden dMSA pour un accès privilégié, bloquant ainsi efficacement sa progression même après une compromission initiale.
Protection MFA sur les connexions Windows directes aux contrôleurs de domaine
Silverfort offre la possibilité d'appliquer l'authentification multifacteur sur toutes les connexions interactives aux contrôleurs de domaine, notamment :
- Connexions à la console locale
- Sessions RDP (Remote Desktop Protocol)
- Toute connexion directe utilisant des informations d'identification de domaine valides
En appliquant l'authentification multifacteur à ces points d'accès critiques, Silverfort Empêche l'accès non autorisé aux contrôleurs de domaine, même si les attaquants possèdent des identifiants valides. Cette fonctionnalité est particulièrement importante dans les scénarios impliquant des attaques basées sur les identifiants, telles que Golden Ticket, Pass-the-Hash ou mouvements latéraux. L'exigence de MFA au moment de la connexion perturbe la chaîne d'attaque de manière précoce, transformant les contrôleurs de domaine de cibles à haut risque en points de terminaison sécurisés.
Contrôle d'accès en temps réel
Silverfort effectue une analyse en temps réel de protocoles d'authentification Le trafic dans l'environnement, en corrélant les signaux d'identité de l'utilisateur, de positionnement de l'appareil, de protocole d'accès et de comportements. Cela permet de prendre des décisions d'application précises au niveau de l'identité, vous permettant ainsi de :
- Bloquez les chemins d’accès non autorisés ou mal utilisés vers des systèmes critiques tels que les contrôleurs de domaine, même si des informations d’identification valides sont utilisées.
- Détecte les anomalies basées sur des outils telles que l'utilisation inattendue de PsExec, PowerShell ou d'autres utilitaires de mouvement latéral en analysant les écarts par rapport aux lignes de base de comportement d'administrateur connues.
- Interrompez les mouvements latéraux dès le début en appliquant des politiques d’accès qui s’adaptent au contexte de risque, empêchant ainsi l’escalade avant que les attaquants n’atteignent des cibles sensibles.
Clôture virtuelle pour arrêter les mouvements latéraux
Silverfort peut appliquer des capacités de clôture virtuelle non seulement pour les utilisateurs, mais aussi pour identités non humainesCes politiques établissent des limites d’accès explicites, restreignant les mouvements en fonction du type d’identité (utilisateur ou compte de service), de son rôle et de facteurs contextuels tels que le système source, la méthode d’accès et le protocole.
Contrairement à la segmentation traditionnelle du réseau, qui manque de visibilité sur le contexte d’identité, Silverfort Applique la politique au niveau de l'authentification. Cela permet une application en temps réel qui bloque les mouvements basés sur les identifiants, même lorsque les attaquants utilisent des identifiants légitimes ou des privilèges de niveau SYSTÈME.
SilverfortL'approche de garantit :
- Les utilisateurs humains ne peuvent accéder qu'aux systèmes et aux charges de travail qui leur sont explicitement attribués, éliminant ainsi l'accès général entre les machines jointes au domaine.
- Les comptes de service, y compris les dMSA, les gMSA et autres identités non humaines, sont régis par des politiques de protection par clôture virtuelle qui définissent les machines, services ou applications avec lesquels ils sont autorisés à interagir. Toute tentative d'accès non autorisée de service à service est catégoriquement refusée.
- Les mouvements latéraux, qu'ils soient effectués par le biais d'outils interactifs (RDP, PsExec) ou de processus automatisés (tâches planifiées, démarrages de services), sont évalués en temps réel et bloqués à moins qu'ils ne soient conformes à une politique prédéfinie.
En appliquant ces contrôles dans les flux d’identité et d’authentification, Silverfort élimine les angles morts où les comptes de service et utilisateurs privilégiés se déplacent traditionnellement sans contrôle, réduisant ainsi le risque de mouvement latéral même dans des environnements privilégiés totalement compromis.
L’arrêt du mouvement latéral commence au niveau de la couche d’authentification
Golden dMSA rappelle qu'aucun périmètre n'est intrinsèquement sécurisé et que les attaquants sont prêts à compromettre leurs données dès qu'ils en ont l'occasion. Le véritable défi réside dans la suite des événements, notamment lorsqu'ils atteignent les contrôleurs de domaine avec un accès de niveau SYSTÈME.
C'est pourquoi la protection des identités en temps réel doit être primordiale. Pour se défendre contre les techniques post-exploitation, les entreprises doivent appliquer des contrôles de sécurité au niveau de l'authentification, et pas seulement au niveau du terminal ou du réseau.
Silverfort rend cela possible. En appliquant moindre privilège, surveiller l'authentification en temps réel et contrôler l'accès des utilisateurs et des comptes de service, Silverfort empêche les mouvements latéraux et les abus de service, même lorsque les informations d'identification sont légitimes.
Apprenez à vous défendre contre Golden dMSA et d'autres attaques basées sur l'identité en planifier un appel avec l'un de nos experts en sécurité d'identité.