Where Multi-Factor Authentication Stops and Credential Abuse Starts

Les limites de l’authentification multifacteur dans les environnements Windows

L’authentification multifacteur (MFA) est souvent déployée pour sécuriser les accès, mais elle ne couvre pas tous les scénarios dans les environnements Windows. Les attaquants exploitent encore des identifiants valides pour compromettre les réseaux car de nombreuses méthodes d’authentification Windows, notamment les connexions locales et certaines utilisations de RDP, NTLM, Kerberos, SMB et des comptes de service, ne déclenchent pas de processus MFA basé sur les fournisseurs d’identité cloud.

Points Clés :

• La MFA est efficace pour les applications cloud et les connexions fédérées, mais les connexions Windows traditionnelles via Active Directory (AD) peuvent ne pas être protégées.
• Des techniques d’attaque comme le “pass-the-hash” et le vol de tickets Kerberos contournent l’authentification simple par mot de passe et peuvent ne pas être arrêtées par la MFA traditionnelle.
• Les comptes administrateurs locaux et les comptes de service représentent des points d’entrée critiques car ils sont souvent utilisés avec des identifiants réutilisés ou non surveillés et n’activent pas la MFA.

Vulnérabilités et Vecteurs d’Attaque :

• Connexion interactive Windows (locale ou jointe au domaine) : Les connexions directes aux postes de travail ou serveurs Windows utilisent souvent l’AD, et non le fournisseur d’identité cloud, permettant l’authentification avec un simple mot de passe volé ou un hash.
• Accès RDP direct : Les sessions RDP peuvent ne pas passer par les contrôles MFA du cloud, reposant uniquement sur les identifiants AD sous-jacents.
• Authentification NTLM : Ce protocole hérité et obsolète est vulnérable aux attaques de type “pass-the-hash” où le hash du mot de passe suffit pour s’authentifier.
• Abus de tickets Kerberos : Les attaquants volent ou falsifient des tickets Kerberos pour obtenir un accès persistant et se déplacer latéralement dans le réseau.
• Comptes administrateurs locaux et réutilisation d’identifiants : La réutilisation des identifiants des administrateurs locaux sur plusieurs machines permet une escalade des privilèges rapide et contourne complètement la MFA.
• Authentification SMB et mouvement latéral : SMB est utilisé pour le partage de fichiers et l’accès à distance, offrant une voie de mouvement latéral efficace avec des identifiants valides, souvent sans application de la MFA.
• Comptes de service : Ces comptes automatisés et souvent avec des privilèges étendus sont difficiles à sécuriser avec la MFA et constituent des cibles privilégiées.

Recommandations :

• Appliquer des politiques de mots de passe plus fortes dans AD : Privilégier des phrases de passe longues (15+ caractères), interdire la réutilisation et bloquer les modèles faibles.
• Bloquer continuellement les mots de passe compromis : Empêcher l’utilisation de mots de passe issus de fuites de données connues dès leur création.
• Réduire l’exposition aux protocoles d’authentification hérités : Limiter ou éliminer l’utilisation de NTLM et renforcer les contrôles là où il ne peut être supprimé.
• Auditer les comptes de service et réduire l’escalade des privilèges : Inventairez, limitez les permissions inutiles, faites pivoter les identifiants et supprimez les comptes obsolètes. Considérer les comptes de service avec des permissions de domaine comme des cibles à haut risque.
• Envisager des solutions de sécurité adaptées : Des outils comme Specops Secure Access peuvent aider à imposer la MFA pour les connexions Windows, VPN et RDP, y compris pour les connexions hors ligne. Specops Password Policy offre des contrôles de mots de passe avancés et une protection contre les mots de passe compromis.

Source