Autorisé à agir

Description

Le principal de sécurité source est autorisé à effectuer une délégation contrainte basée sur les ressources Kerberos sur l'ordinateur cible. Cela signifie qu'il peut emprunter l'identité de n'importe quel utilisateur lorsqu'il s'authentifie avec Kerberos dans un service exécuté sur l'ordinateur cible.

Cela conduit souvent à la compromission totale de l'ordinateur cible.

Cette attaque s'appelle également Délégation contrainte basée sur les ressources (RBCD), Délégation contrainte basée sur les ressources Kerberos (KRBCD), Délégation contrainte Kerberos basée sur les ressources (RBKCD) et « autorisé à agir au nom d'une autre identité ».

Exploitation

Les attaquants qui compromettent le principal de sécurité source peuvent utiliser des outils de piratage dédiés tels que Rubeus pour exploiter les extensions de protocole Kerberos légitimes (S4U2self et S4U2proxy), afin de falsifier des tickets de service Kerberos et d'emprunter l'identité de l'utilisateur ciblé. Les attaquants choisiront probablement d'usurper l'identité d'un utilisateur avec privilèges pour obtenir un accès avec privilèges.

Une fois que les attaquants ont falsifié le ticket de service, ils peuvent utiliser n'importe quel outil d'administration natif ou de piratage spécialisé compatible avec Kerberos pour exécuter des commandes arbitraires à distance.

Une tentative d'exploitation réussie doit respecter les contraintes suivantes :

  • Les principaux de sécurité source et cible doivent avoir un nom de principal de service (ServicePrincipalName). Tenable Identity Exposure ne crée pas cette relation d'attaque sans cette condition.

  • Le compte ciblé pour l'usurpation d'identité ne doit pas avoir l'indicateur « est sensible et ne peut pas être délégué » (ADS_UF_NOT_DELEGATED dans UserAccountControl) ni être membre du groupe « Protected Users » (Utilisateurs protégés), car Active Directory protège ces comptes des attaques par délégation.

Remédiation

Si le principal de sécurité source n'a pas besoin de l'autorisation d'effectuer une délégation restreinte basée sur les ressources Kerberos (RBCD) sur l'ordinateur cible, vous devez la supprimer. Vous devez effectuer la modification sur la cible, contrairement à la relation d'attaque par délégation « Autorisé à déléguer ».

Vous ne pouvez pas gérer RBCD avec les outils d'administration graphiques existants tels que « Utilisateurs et ordinateurs Active Directory ». Vous devez utiliser PowerShell pour modifier le contenu de l'attribut msDS-AllowedToActOnBehalfOfOtherIdentity.

Utilisez les commandes suivantes pour répertorier les principaux de sécurité source autorisés à agir sur la cible (dans la section « Accès ») :

Copier 
Get-ADComputer target -Properties msDS-AllowedToActOnBehalfOfOtherIdentity | Select-Object -ExpandProperty msDS-AllowedToActOnBehalfOfOtherIdentity | Format-List

Si aucun des principaux de sécurité répertoriés n'est souhaité, vous pouvez tous les supprimer avec cette commande :

Copier 
Set-ADComputer target -Clear "msDS-AllowedToActOnBehalfOfOtherIdentity"

Si vous devez supprimer un seul principal de sécurité de la liste, Microsoft ne fournit malheureusement pas de commande directe. Pour supprimer l'attribut, utilisez la même liste en retirant l'attribut souhaité. Par exemple, si « sourceA », « sourceB » et « sourceC » sont tous autorisés et que vous souhaitez supprimer uniquement « sourceB », exécutez :

Copier 
Set-ADComputer target -PrincipalsAllowedToDelegateToAccount (Get-ADUser sourceA),(Get-ADUser sourceC)

Enfin, en tant que recommandation générale, afin de limiter l'exposition des comptes avec privilèges sensibles à ces attaques par délégation, Tenable Identity Exposure recommande de leur donner l'indicateur « est sensible et ne peut pas être délégué » (ADS_UF_NOT_DELEGATED) ou de les ajouter au groupe « Protected Users » (Utilisateurs protégés), après avoir vérifié minutieusement les impacts opérationnels.

Voir aussi