Bonjour à tous
Je vais animer avec Sylvain CORTES une session aux Identity Days dédiée aux attaques autour d’Active Directory : Attaque Active Directory 100% démo – Zéro Slide – Zéro blabla
La session en ligne est prévue pour jeudi 29 octobre de 14h30 à 15h15.
Le programme : https://identitydays.com/programme-2020-fr/
Pour vous inscrire : https://identitydays.com/inscriptions-digital-edition/
Une des démonstrations de cette session consistera à voir pourquoi les attaquants ciblent tout particulièrement les serveurs de sauvegarde. Nous allons voir cela en détails dans cet article :
– Comment un attaquant peut élever ses privilèges une fois que ce dernier est administrateur local du serveur de sauvegarde ?
– Comment un attaquant peut supprimer toutes les sauvegardes locales ou externalisées en quelques clics si ces dernières sont accessibles en locale ou via le réseau par le serveur de sauvegarde ?
– Les bonnes pratiques à mettre en place pour réduire les risques.
Nous utiliserons Veeam Backup & Replication comme solution de sauvegarde car cette solution est une des plus déployée et cela à juste titre.
1. Comment un attaquant peut élever ses privilèges une fois que ce dernier est administrateur local du serveur de sauvegarde ?
Cette solution permet de sauvegarder des machines virtuelles et des serveurs physiques. L’outil dispose donc au moins d’un compte permettant de sauvegarder ces machines.
Pour faire une sauvegarde cohérente d’une base SQL Server ou d’un annuaire Active Directory, il faut aussi activer l’option Application-Aware processing. Cette dernière permet de sauvegarder de manière cohérente l’annuaire AD sans générer un USN Rollback.
https://support.microsoft.com/en-us/help/875495/how-to-detect-and-recover-from-a-usn-rollback-in-windows-server-dc.
https://helpcenter.veeam.com/docs/backup/vsphere/application_aware_processing.html?ver=100
Il est cependant nécessaire de fournir un compte avec les droits Builtin\Administrators qui permet l’escalade vers des groupes à plus fort privilèges comme Domain Admins ou Enterprise Admins (s’il s’agit du domaine racine de la forêt).
Veeam Backup & Replication for Office 365 permet de sauvegarder les tenant Office 365. Là encore le serveur de sauvegarde dispose d’un compte avec des privilèges très importants sur le Tenant Office 365.
Veeam Backup & Replication intègre une fonctionnalité très intéressante qui permet de restaurer directement une machine sous forme d’une machine virtuelle Azure. Pour cela, Veeam Backup & Replication doit au minimum disposait d’un accès à un groupe de ressource Azure.
Tous les mots de passe utilisés pour se connecter aux différentes ressources à sauvegarder ou utilisés pour la restauration sont stockés dans le Credential Manager de Veeam Backup & Replication.
https://helpcenter.veeam.com/docs/backup/vsphere/credentials_edit_delete.html?ver=100
https://www.veeam.com/kb3224
https://www.veeam.com/kb2327
Le contenu du Credential Manager est contenu dans table dbo.Credentials de la base de données SQL Server appelée VeeamBackup. En effet l’installation de Veeam Backup & Replication crée une instance SQL Server appelée VEEAMSQL2016 et la base de données VeeamBackup. Pour y accéder, vous pouvez installer SQL Server Management Studio depuis cette adresse :
https://docs.microsoft.com/en-us/sql/ssms/download-sql-server-management-studio-ssms?view=sql-server-ver15
Dans l’exemple ci-dessous nous souhaitons récupérer le mot de passe du compte service-veeam du domaine Active Directory veeamdemo.local. Veeam étant un éditeur sérieux, le mot de passe est chiffré dans la base de données (colonne password).
La première étape est de copier ce mot de passe chiffré. Exemple :
AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAAJomkgpjMLkC/ppA6+NLe
+QQAAAACAAAAAAAQZgAAAAEAACAAAABEGn+h41jmLDGovB2ctYT
WMjx4LUUx4fUdOUfN5iUl6gAAAAAOgAAAAAIAACAAAABJZejvoUx6
WOnJISPV3I447n1iW+f7brr1o8KURtm63SAAAAAqGRSTDrRRyYxQyw
T+/nX/M8RUdgKRY8nYkZPnT7iLK0AAAABf64m2IUd3xLyjz6ZfM9c7x
lHoPMdd/MjeljITvYU39pDjHQoYrx1Tf6EFarsF6hjj0gNXi+EDPYQ3x2I
2AS09
Sur le serveur Veeam Backup & Replication, il faut ensuite exécuter les commandes PowerShell suivantes :
$encoded = “le mot de passe chiffré récupéré à l’étape précédente depuis la base de données”
Add-Type -Path “C:\Program Files\Veeam\Backup and Replication\Backup\Veeam.Backup.Common.dll”
[Veeam.Backup.Common.ProtectedStorage]::GetLocalString($encoded)
Le mot de passe du compte de service service-veeam membre du groupe BUILTIN\Administrators s’affiche alors (V@chette123!!!2020% dans cet exemple).
Le fait qu’il existe une fonction pour récupérer le mot de passe en texte claire du compte de service est logique. En effet, le service Veeam Backup & Replication doit pouvoir accéder à ces informations pour fonctionner correctement.
2. Comment un attaquant peut supprimer toutes les sauvegardes locales ou externalisées en quelques clics si ces dernières sont accessibles par le serveur de sauvegarde ?
Les attaques par rançonware ont pour objectif d’obtenir une rançon en contre partie de la récupération de vos données qui ont été chiffrées. L’attaquant va donc essayer de vous empêcher de restaurer ces dernières en rendant inopérant votre sauvegarde locale ou externalisée.
La console d’administration de Veeam Backup & Replication permet supprimer toutes les sauvegardes accessibles par le serveur de sauvegarde. Cela inclue la sauvegarde locale mais aussi les sauvegardes des fournisseurs Veeam Cloud Connect ou les sauvegardes vers des Objects Storage comme un compte de stockage Azure ou son équivalent chez AWS. Pour cela, il faut aller dans la section Home | Backup dans la console Veeam Backup & Replication.
3. Les bonnes pratiques à mettre en place pour réduire les risques :
La première bonne pratique est de respecter la règle du 3-2-1 de la sauvegarde. Vous devez :
– Disposer de 3 copies de vos données au moins
– Stocker ces copies sur deux supports différents
– Conserver une copie de la sauvegarde hors site et surtout hors ligne.
Microsoft et Amazon proposent des solutions de stockage immuable (écriture unique, lecture multiple).
https://docs.microsoft.com/fr-fr/azure/storage/blobs/storage-blob-immutable-storage
Ce service peut être intéressant mais il faut pouvoir garantir que l’attaquant ne pourra pas supprimer la ressource de stockage immuable si ce dernier devient administrateur du service de cloud public. Bref vous l’aurez compris, je préconise des sauvegardes hors ligne (non accessible par le serveur de sauvegarde) protégé par un mot de passe (RGPD oblige) vers des NAS ou des disques déconnectés complètement du réseau de l’entreprise et mis sous coffre.
La configuration du serveur Veeam Backup doit aussi être renforcée :
– Arrêt du service RDP et SMB dans la mesure du possible ou filtrage de l’accès à ces services via le pare feu Windows.
– Configuration du serveur de sauvegarde en groupe de travail
– Définir un mot de passe administrateur local (base SAM) différent du mot de passe du domaine Active Directory ou des autres mots de passe administrateur local sur les serveurs et statons de travail de l’entreprise.
– Déploiement automatique des mises à jour de sécurité tous les mois.
– Chiffrement des disques du sauvegarde avec des solutions comme Microsoft BitLocker pour empêcher un attaquant ayant voler le serveur de pouvoir devenir administrateur local.
https://www.youtube.com/watch?v=yND1ZrTtZmQ
– Utiliser un serveur physique au lieu d’une machine virtuelle pour le serveur de sauvegarde. En effet les machines virtuelles sont plus simples à voler (il est très simple de faire un clone une fois que l’on est administrateur de l’hyperviseur) que de serveurs physiques.
– Faire une sauvegarde de vos contrôleurs de domaine avec Windows Server Backup vers un disque dédié. Configurer Veeam Backup & Replication pour sauvegarder le contrôleur de domaine sans utiliser Application-Aware processing.
– Faire une sauvegarde de vos serveurs de base SQL Server avec SQL Server Management Studio vers un disque local. Configurer Veeam Backup & Replication pour sauvegarder le serveur SQL Server sans utiliser Application-Aware processing.
A très bientôt.
Guillaume MATHIEU
Directeur Technique de Flexsi
La connaissance s’accroît quand on la partage.
http://wwwflexsi.fr
http://msreport.free.fr