Comment protéger votre ADFS contre les attaques par pulvérisation de mot de passe

System hacked

Une attaque par pulvérisation de mot de passe est une attaque de mot de passe spécialisée couramment utilisée par les attaquants qui est raisonnablement efficace et permet d’éviter la détection par les défenses de mot de passe traditionnelles. Au lieu d’essayer de nombreux mots de passe différents sur un seul compte d’utilisateur, l’attaque par pulvérisation de mots de passe peut essayer un ou deux mots de passe communs sur de nombreux comptes et services différents.

Il peut même s’étendre à de nombreuses organisations différentes. C’est l’une des dix attaques de mot de passe les plus courantes qui se produisent actuellement.

Dans ce type d’attaque, le pirate choisit des mots de passe couramment utilisés par les utilisateurs finaux ou trouvés sur des vidages de mots de passe violés. Les attaques par pulvérisation de mot de passe aident à éviter la détection par de nombreuses solutions de surveillance de sécurité traditionnelles disponibles, car le modèle d’attaque ressemble à des tentatives de connexion échouées normales.

Les tentatives ne verrouillent pas les comptes ni ne déclenchent d’autres seuils de surveillance puisqu’il n’y a que quelques tentatives pour chaque utilisateur.

La pulvérisation de mots de passe consiste à jouer les cotes – les attaquants savent que s’ils pulvérisent des mots de passe communs sur des milliers de comptes, ils auront très probablement quelques succès chez les utilisateurs qui ont des mots de passe faciles à deviner comme ceux récemment trouvés dans le rapport 2022 sur les mots de passe faibles de Specops.

Votre ADFS à risque

Les organisations utilisant les services de fédération Active Directory (ADFS) disposeront d’une infrastructure de services de domaine Active Directory qui utilise généralement les stratégies traditionnelles de mot de passe et de verrouillage de compte ADDS. De plus, la plupart des organisations auront une politique de verrouillage de compte qui se déclenche après 3 à 5 tentatives de connexion infructueuses, verrouillant le compte utilisateur.

La pulvérisation de mot de passe reste sous ce seuil pour que les comptes d’utilisateurs ciblés ne déclenchent pas de verrouillage de compte.

Les mots de passe de compte volés fournissent le « chemin de moindre résistance » dans un réseau victime pour un attaquant. Une fois les informations d’identification compromises obtenues, l’attaquant peut facilement accéder aux systèmes critiques de l’entreprise avec peu d’effort.

ADFS est une solution qui permet de fédérer la gestion des identités et des accès et de partager les droits d’accès et d’autorisation au-delà des frontières de l’entreprise.

ADFS est utilisé pour unifier les comptes ADDS sur site avec Office 365
ADFS est utilisé pour unifier les comptes ADDS sur site avec Office 365

Les acteurs de la menace peuvent utiliser ces premières victimes réussies de pulvérisation de mot de passe pour parcourir les e-mails, rechercher des contacts supplémentaires, des informations sensibles, des informations privilégiées ou envoyer des liens de phishing à d’autres membres de l’organisation.

Les entreprises utilisent souvent ADFS IAM entre les environnements sur site et cloud et fournissent une authentification unique pour les ressources critiques de l’entreprise au-delà des limites de l’infrastructure.

Alors, comment les organisations peuvent-elles protéger leur environnement ADFS contre les attaques par mot de passe, y compris la pulvérisation de mot de passe et d’autres menaces qui tentent de voler et de compromettre les informations d’identification ?

Protéger un ADFS des attaques par pulvérisation de mot de passe

Microsoft recommande une approche à plusieurs niveaux pour sécuriser votre environnement ADFS contre la pulvérisation de mot de passe et d’autres types d’attaques de mot de passe. Les protections de sécurité recommandées appliquent trois niveaux de sécurité, notamment :

  • Ligne de base
  • Protégez votre extranet
  • Passer au sans mot de passe pour l’accès à l’extranet

1. Base de référence

L’une des premières recommandations de Microsoft est d’exécuter ADFS 2016, également connu sous le nom d’AFFS 4.0.

Avec ADFS 2016, vous pouvez implémenter verrouillage intelligent extranet. Le verrouillage intelligent de l’extranet protège les utilisateurs des verrouillages de compte contre les activités malveillantes.

Pour ce faire, il fait la différence entre les tentatives de connexion à partir d’un emplacement familier pour les tentatives de connexion des utilisateurs et celles provenant d’activités malveillantes.

Cette protection peut déclencher même une ou deux tentatives de connexion inhabituelles qui pourraient déjouer un pulvérisateur de mot de passe plus tôt.

2. Protégez votre extranet

La protection de votre extranet à l’aide d’ADFS implique l’utilisation d’une authentification moderne avec des clients mobiles ainsi que l’utilisation d’une authentification multifacteur (MFA) pour sécuriser tous les accès à l’extranet. Les appareils modernes et les clients de messagerie peuvent utiliser des protocoles d’authentification pour se connecter à votre extranet fédéré ADFS.

MFA peut être utilisé avec les stratégies d’accès conditionnel dans Azure AD pour fournir un contexte de sécurité robuste autour des connexions des utilisateurs pour une protection supplémentaire contre ces types d’attaques.

3. Passer au sans mot de passe pour l’accès à l’extranet

Se débarrasser complètement des mots de passe réduit évidemment considérablement le risque posé aux mots de passe des utilisateurs. Microsoft propose plusieurs technologies sans mot de passe, notamment :

  • Windows 10 et 11 Hello pour les entreprises
  • Les appareils gérés par MDM peuvent tirer parti des connexions basées sur des certificats
  • OTP MFA Azure

Cependant, de nombreuses organisations peuvent trouver que l’authentification sans mot de passe n’est pas encore suffisamment mature pour remplacer les mots de passe dans leurs environnements.

Comme nous l’avons vu lorsque Microsoft a presque abandonné Active Directory pour Azure Active Directory, Microsoft poussant sans mot de passe signifie que les mots de passe eux-mêmes sont plus vulnérables que jamais. Alors que nous voyons Microsoft se détourner de la méthode d’authentification numéro un sur le marché, les organisations peuvent être plus vulnérables sans une solution fiable.

Plutôt que de passer à une technologie qui pourrait ne pas être en mesure de répondre au battage médiatique, les organisations devraient se concentrer sur la protection de leurs méthodes d’authentification actuelles et utiliser des stratégies simples telles que plusieurs facteurs, bloquer les mots de passe connus violés et encourager l’utilisation de phrases secrètes.

Sécurité supplémentaire avec la politique de mot de passe Specops

L’un des principaux points faibles de la sécurité des mots de passe des centres de données d’entreprise traditionnels réside dans les politiques de mot de passe obsolètes trouvées dans les politiques de mot de passe des services de domaine Active Directory qui permettent aux mots de passe faciles à déchiffrer de se répandre dans toute une organisation.

Malheureusement, la politique de mot de passe ADDS n’est pas conçue pour les défis de mots de passe modernes auxquels sont confrontées les organisations aujourd’hui, y compris les attaques par pulvérisation de mots de passe et les comportements dangereux des utilisateurs finaux tels que l’incrémentation des mots de passe.

Politique de mot de passe Specops est une solution de stratégie de mot de passe robuste basée sur le moteur de stratégie de groupe dans Active Directory. Il permet aux organisations de surmonter les limites des fonctionnalités natives de la stratégie de mot de passe Active Directory. Specops protège contre les mots de passe violés connus et les mots de passe nouvellement découverts en utilisant la force brute ou d’autres attaques par pulvérisation de mot de passe.

La protection continue de Specops contre les violations de mot de passe utilise le propre réseau de pots de miel de Specops dans le monde entier qui capture les données de mot de passe violées. Ces données sont ensuite réinjectées dans Specops Breached Password Protection et, par extension, Specops Password Policy.

C’est une bonne idée d’avoir une couche de sécurité supplémentaire protégeant votre ADFS et la politique de mot de passe Specops fait exactement cela. Vous pouvez tester Specops dans votre AD gratuitement, à tout moment.

Sponsorisé par Forces spéciales