Une attaque Golden Ticket est une cyberattaque visant à obtenir un accès presque illimité à l'ensemble du domaine d'une entreprise (terminaux, fichiers, contrôleurs de domaine, etc.) en accédant aux données des utilisateurs stockées dans Microsoft Active Directory (AD). L'idée étant ici d'exploiter les vulnérabilités du protocole Kerberos utilisé pour accéder à AD afin de contourner le processus standard d'authentification.
De plus en plus nombreuses à se tourner vers le cloud et le télétravail, les entreprises, dont les employés utilisent leurs propres terminaux et réseaux pour se connecter aux systèmes, voient s'étendre leur surface d'attaque au-delà du périmètre traditionnel. Cette mutation augmente le risque de compromission de réseau et donc d'attaque Golden Ticket.
Origines de l'attaque Golden Ticket
L'apparition des attaques Golden Ticket est étroitement liée à Mimikatz, un outil open source créé en 2011 pour mettre en évidence les failles de Microsoft Windows grâce à l'extraction d'informations d'identification comme les noms d'utilisateur, les mots de passe, les hachages et les tickets Kerberos. L'appellation Golden Ticket provient du fait que ces attaques exploitent une vulnérabilité du protocole d'authentification Kerberos. À l'instar du roman et du film Charlie et la Chocolaterie, d'où l'attaque tire son nom, le fameux ticket d'or ou Golden Ticket permet, si ce n'est d'accéder à une usine de sucreries bien gardée, de contourner le système de cybersécurité d'une entreprise afin d'obtenir l'accès à ses ressources, fichiers, ordinateurs et contrôleurs de domaine.
Comment fonctionne une attaque Golden Ticket ?
De manière générale, l'authentification Kerberos passe par un centre de distribution de clés pour protéger et vérifier l'identité des utilisateurs. L'objectif de ce système est d'éviter les multiples requêtes d'identifiants en attribuant à la place un ticket d'accès aux utilisateurs après vérification de leur identité. Ce centre de distribution dispose d'un serveur d'octroi de tickets (TGS), qui connecte l'utilisateur au serveur du service, sachant que la base de données Kerberos contient le mot de passe de tous les utilisateurs vérifiés. Le serveur d'authentification (AS) réalise la première authentification de l'utilisateur. Si celle-ci est confirmée, l'utilisateur obtient un ticket d'octroi de ticket Kerberos (TGT) qui vaut pour authentification.
Déroulement d'une attaque Golden Ticket
Pour lancer une attaque Golden Ticket, il est nécessaire de disposer du nom de domaine précis, de l'identifiant de sécurité, du hachage du mot de passe KRBTGT et du nom d'utilisateur du compte ciblé. La procédure ci-dessous décrit l'approche utilisée par les cyberattaquants pour se procurer ces informations nécessaires au lancement de leur attaque.
Étape 1 : Enquêter. Afin d'obtenir l'accès préalable au système dont ils ont besoin, les cyberattaquants utilisent souvent la méthode de l'e-mail de phishing. Une fois ce premier accès obtenu, ils mènent leur enquête et collectent les informations nécessaires telles que le nom de domaine.
Étape 2 : Voler les accès. Une fois qu'ils ont accès au contrôleur de domaine, les cyberattaquants volent le hachage NTLM du compte du service de distribution de clés d'Active Directory (KRBTGT). Pour ce faire, ils peuvent utiliser des techniques de type Pass the Hash qui, à la différence d'autres méthodes de vols d'identifiants, ne requièrent pas de craquer de mot de passe.
Étape 3 : Lancer l'attaque. Une fois qu'ils disposent du mot de passe du compte KRBTGT, les cyberattaquants sont en mesure d'obtenir un TGT, qui leur donne ensuite accès au contrôleur de domaine et vérifie l'identité du serveur. Ce TGT leur offre également un accès illimité aux ressources leur permettant d'attribuer les tâches liées au domaine à d'autres utilisateurs et de les autoriser à créer des tickets.
Étape 4 : Conserver les accès. Tandis que ce type d'attaque passe souvent inaperçu, la validité des tickets obtenus peut être prolongée jusqu'à 10 ans. Pour éviter d'être repérés, les cyberattaquants optent généralement pour une période de validité plus courte.
Comment détecter une attaque Golden Ticket ?
Il existe plusieurs stratégies sur lesquelles les entreprises peuvent s'appuyer pour détecter les éventuelles attaques Golden Ticket. À l'issue de l'étape 2, qui consiste à s'introduire dans le système, les cyberattaquants peuvent se procurer des identifiants de connexion pour de futures attaques. Des outils automatisés sont combinés aux informations sur les clients et les employés précédemment obtenues pour identifier les comptes actifs. Lorsque Kerberos reçoit une demande TGT sans authentification préalable, il renvoie différents messages selon que les identifiants de connexion sont valides ou non. Les cyberattaquants profitent de ce fonctionnement pour exploiter les identifiants valides lors d'éventuelles futures attaques. Pour contrer ce phénomène, les équipes de sécurité peuvent donc rechercher les tickets multiples demandés à partir d'une même source sans authentification préalable.
Détecter les attaques Golden Ticket grâce aux solutions XDR
Afin d'accélérer le processus de Threat Hunting et d'intervention, les solutions XDR (eXtended Detection and Response) collectent les données relatives aux menaces issues des outils de l'infrastructure technologique de l'entreprise. Pour faciliter la détection rapide des attaques Golden Ticket d'après l'ensemble de ces informations collectées, il est possible de regrouper l'ensemble des processus de détection et d'intervention au sein d'une même console de gestion.
Conseils pour se protéger des attaques Golden Ticket
Pour prévenir les attaques Golden Ticket, plusieurs stratégies de cybersécurité traditionnelles restent essentielles. Les attaques Golden Ticket sont des attaques post-exploitation, ce qui signifie que l'environnement doit déjà être compromis pour qu'elles puissent être lancées. Adopter les bonnes pratiques suivantes vous aidera à empêcher que les cyberattaquants n'obtiennent l'accès préalable sur lequel reposent ces attaques.
Conseil 1 : Sécuriser Active Directory
La vulnérabilité d'un seul endpoint ou workload peut exposer l'ensemble de l'entreprise à une compromission majeure. En appliquant la stratégie Zero Trust — ne jamais faire confiance, toujours vérifier — vous contribuez à la protection d'AD et des identités, et garantissez que l'accès à toute donnée passe systématiquement par la vérification et l'autorisation préalables des utilisateurs.
Disposer d'une bonne visibilité sur l'accès des utilisateurs est impératif et le principe du moindre privilège (POLP) contribue à la sécurisation d'AD et donc à la prévention des attaques de type Golden Ticket. Ce concept de sécurité garantit que les utilisateurs ne reçoivent que les droits d'accès nécessaires à leurs fonctions.
Disposer d'une solution de protection des identités comme Falcon Identity Threat Protection aide à sécuriser l'infrastructure AD et à réduire les risques pour la sécurité. La surveillance constante d'AD pour détecter tout comportement inhabituel et la mise en place de systèmes garantissant que les utilisateurs non autorisés n'obtiennent pas d'accès sont impératives pour prévenir les attaques Golden Ticket, plutôt que de devoir y répondre une fois que les dommages ont déjà été causés.
Conseil 2 : Se concentrer sur la lutte contre le vol d'identifiants
Sachant que le phishing par e-mail, entre autres, survient à l'étape 1 d'une attaque Golden Ticket, veillez à ce que votre personnel soit formé à repérer ces tentatives afin d'empêcher les cyberattaquants d'obtenir leur premier accès. Les outils d'hygiène IT permettent de s'assurer que toutes les informations d'identification sont sécurisées et que les mots de passe sont changés régulièrement. Ainsi, si un système a été compromis, l'attaque sera détectée et stoppée.
Conseil 3 : Threat Hunting
Un Threat Hunting proactif permet de traquer les menaces 24 h sur 24 et 7 j sur 7 afin de détecter les attaques inconnues et furtives utilisant les identifiants volés sous le couvert de l'identité d'utilisateurs légitimes. Il arrive cependant que ces attaques passent sous le radar et échappent à la détection des outils de sécurité automatisés. Les attaques Golden Ticket sont notamment pensées pour passer inaperçues auprès des systèmes de sécurité, et l'adoption d'une stratégie de Threat Hunting gérée par l'humain est essentielle pour les identifier. En s'appuyant sur l'expertise acquise lors des « affrontements » quotidiens avec des cyberattaquants APT sophistiqués, les équipes de Threat Hunting sont à même d'identifier et de suivre des millions d'indices infimes de traque pour vérifier s'ils sont légitimes ou malveillants et, le cas échéant, avertir les clients.