En cybersécurité, les « tickets » sont des ensembles d’informations d’identification utilisées pour authentifier les utilisateurs. Un silver ticket est un faux ticket créé par un utilisateur non autorisé. Avec ce faux silver ticket, les acteurs de la menace peuvent lancer une cyberattaque qui consiste à exploiter les faiblesses d’un système d’authentification Kerberos. Dans ce système, un service d’octroi de tickets (TGS) sert de jeton d’authentification, accordant aux utilisateurs autorisés l’accès à des services particuliers. Si un attaquant réussit, le silver ticket falsifié lui permet d’usurper l’identité du compte du service et d’accéder aux ressources du réseau.
Attaque par silver ticket ou par golden ticket : Quelle est la différence ?
Le golden ticket est également utilisé dans le cadre d’une cyberattaque qui consiste à falsifier des tickets d’authentification pour permettre à des usurpateurs d’accéder au réseau. Cependant, au lieu d’usurper l’identité d’un service spécifique comme dans le cas d’un silver ticket, un golden ticket usurpe l’identité d’un contrôleur de domaine entier. Cela signifie que si un utilisateur non autorisé dispose d’un ticket d’or, il a un accès plus large à tous les services du domaine. Les silver tickets et les golden tickets sont des types de faux tickets qui exploitent le protocole d’authentification Kerberos. La principale différence entre ces deux types de tickets réside dans le niveau d’accès que les utilisateurs non autorisés peuvent obtenir.
Comment fonctionnent les attaques par silver ticket ?
1. L’attaquant compromet un compte : Pour qu’une attaque par silver ticket se produise, un pirate doit obtenir l’accès au compte d’un utilisateur autorisé. Il peut compromettre un compte en déchiffrant des mots de passe faibles par le biais d’attaques par force brute, d’hameçonnage (phishing) ou de logiciels malveillants (malware).
2. L’attaquant extrait des informations de service : Une fois que l’attaquant a pénétré dans le réseau, il recherche des informations de service précieuses telles que l’identifiant de sécurité (SID) et le système de noms de domaine (DNS).
3. L’attaquant obtient le hachage NTLM : Le hachage NTLM est dérivé du mot de passe de l’utilisateur usurpé et constitue la clé pour chiffrer et déchiffrer les tickets de service falsifiés. L’attaquant peut obtenir le hachage NTLM par craquage hors ligne, également connu sous le nom de kerberoasting.
4. L’attaquant falsifie le ticket : À l’aide du hachage NTLM, l’attaquant forge un service d’octroi de tickets valide pour s’authentifier auprès d’un service spécifique.
5. L’attaquant obtient et exploite l’accès : Lorsque l’attaquant réussit à falsifier le ticket, il obtient un accès complet au service. Dans la plupart des cas, les attaquants ne s’arrêtent pas là et se déplacent latéralement dans le réseau.
Comment prévenir les attaques de silver ticket ?
1. Suivre le principe du moindre privilège (PoLP) : Le principe du moindre privilège est un principe fondamental de la cybersécurité qui préconise d’accorder aux utilisateurs et aux systèmes l’accès aux ressources uniquement nécessaires à l’accomplissement de leurs tâches. Lorsqu’une organisation suit le PoLP et limite les droits d’accès, elle réduit la possibilité pour les cybercriminels d’accroître leurs privilèges s’ils compromettent le réseau.
2. Utiliser des mots de passe forts : Une attaque par silver ticket ne peut avoir lieu sans qu’un attaquant ne compromette un compte autorisé associé à l’organisation. Chaque compte d’employé doit être sécurisé par un mot de passe fort et unique. La meilleure façon pour les organisations de superviser les pratiques des employés en termes de mots de passe est d’investir dans un gestionnaire de mots de passe professionnel, offrant aux administrateurs informatiques une visibilité et un contrôle sur les habitudes des collaborateurs en matière de mots de passe, pour mieux protéger leur organisation contre les attaques.
3. Activer l’authentification multi-facteurs (MFA) : L’authentification multi-facteurs ajoute une couche supplémentaire de sécurité aux comptes en exigeant que les utilisateurs vérifient leur identité en utilisant d’autres méthodes d’authentification en plus de leur nom d’utilisateur et de leur mot de passe. L’authentification multifactorielle rend plus difficile la compromission des comptes, comme le révèle une étude Microsoft selon laquelle l’activation de la MFA peut bloquer plus de 99,9 % des attaques de compromission de comptes.
4. Surveiller le trafic d’authentification : Contrôler et superviser régulièrement le trafic d’authentification sur le réseau de votre organisation est une mesure proactive. Cette pratique permettra à votre organisation de détecter et d’atténuer les activités inhabituelles à un stade précoce, avant que d’autres dommages ne se produisent.
Par Arnaud De Backer, Channel Sales Manager EMEA, Chez Keeper Security
