Test d’intrusion Active Directory

L’Active Directory (AD) est aujourd’hui un élément central dans le fonctionnement des systèmes d’information des entreprises. En charge de la gestion des droits des utilisateurs et des mécanismes d’identification et d’authentification, l’active directory est aujourd’hui une cible systématique pour les cybercriminels.

Quel est l’impact d’une compromission d’un domaine Active Directory ?

La compromission d’un domaine, ou d’une forêt Active Directory permet au mieux une exfiltration de données et dans le pire des cas, une compromission totale de l’entreprise et la paralysie et la destruction d’actifs du système d’information.

Elle est le centre névralgique des droits d’accès à vos actifs critiques. Si votre domaine AD est compromis, les cybercriminels auront alors accès à l’ensemble de vos actifs, incluant vos éléments de sauvegarde.

Faites un test d’intrusion de votre instance Active Directory (AD) avant d’être la prochaine victime.

Notre méthodologie d’accompagnement
se base sur 3 piliers :

L’audit technique et l’évaluation du niveau de sécurité du domaine Active Directory.

La restitution d’audit incluant un plan de recommandation et une priorisation des actions correctives.

Le suivi de l’évolution du niveau de sécurité et du maintien en condition opérationnelle grâce aux scans de vulnérabilités.

Faites évaluer la sécurité de votre instance
Active Directory.

Quelques exemples de points de contrôle de notre méthodologie de notre test d’intrusion.

Les attaquants utilisent aujourd’hui des outils logiciels dédiés à l’attaque d’instances Active Directory. Les attaques les plus courantes sont l’attaque par bruteforce RDP, l’empoisonnement de la résolution LLMNR (Link-Local Multicast Name Resolution) par l’utilisation de responder, le vol de condensat et mots de passe Mimikatz, ou encore le spraying et les attaques pass the hash.

C’est pourquoi nous évaluons la sécurité de nombreux points de configuration comme :

Recherche de vulnérabilités

  • Vérifier les protocoles utilisés
  • Identifier les faiblesses de configuration communes
  • Tests de politiques d’authentification et autorisation

Exemples d’actions

  • Rejeu SMB
  • Interception LLMNR
  • Pass the Hash, Kerberoasting
  • Dump LSASS, NTDIS
  • Dump DPAPI