Active Directory : pourquoi réplication ne vaut pas sauvegarde
La réplication automatique de la base de données d’annuaire entre contrôleurs de domaine, n’a pas d’autre vocation que d’assurer une disponibilité permettant la continuité de l’activité.
Les attaques de ransomware actuelles empruntent beaucoup aux attaques avancées persistantes (APT) : les assaillants s’immiscent en profondeur dans le système d’information, bien souvent jusqu’à corrompre l’infrastructure Active Directory. Pour Emmanuel Gras, PDG et cofondateur d’Alsid, « ce sont des APT, avec comme point d’entrée un phishing, puis prise de contrôle de l’annuaire ». Les chemins vers cette étape peuvent être identifiés avec des outils tels que AD-Control-Paths ou BloodHound. « Avec les APT traditionnelles, on est plutôt sur de l’espionnage, du vol de données. Avec les ransomwares actuels, on parle de monétisation rapide de l’attaque – voire du pur sabotage à grande échelle, comme avec NotPetya ».
Des attaques qui s’inspirent des APT
A la clé, dans les deux as, les efforts de reconstruction peuvent être considérables. Maersk, à l’occasion de l’épisode NotPetya justement, a pu, comme d’autres, mesurer la gravité de la chose. Mais avec un coup de chance extraordinaire : un contrôleur de domaine n’avait pas été affecté, au Ghana, la faute à une panne électrique et à une bande passante insuffisante pour assurer la réplication.
Emmanuel Gras rappelle une spécificité des infrastructures Active Directory : « la base de données, contenant toutes les informations sur les comptes utilisateurs, les machines, etc. est répliquée sur plusieurs contrôleurs de domaine ». Mais pas à des fins de sécurité, dans un but de disponibilité : « prenons l’exemple d’une multinationale. Elle va déployer un contrôleur de domaine à Paris, et un autre à New York, parce que si le lien transatlantique tombe, il faut bien que les Parisiens puissent continuer à travailler même si le contrôleur de domaine de New York n’est pas accessible. Et réciproquement. Par nature, donc, la base de données AD est répliquée entre contrôleurs de domaine ».
Dès lors, pendant longtemps, et assurément avant que ces attaques de rançongiciel de nouvelle génération ne s’imposent comme la norme, le consensus consistait plutôt à se dire : « ça ne sert à rien de sauvegarder un AD, puisqu’il y a cette réplication gratuite, instantanée, et native ». Mais voilà, ces temps sont révolus.
Fragile comme une sauvegarde en ligne
Car cette réplication est comparable à une sauvegarde en ligne, avec les défauts, et surtout la fragilité, que cela implique dans le cadre d’attaques modernes de ransomware : « tout changement malicieux est automatiquement répliqué sur l’ensemble des contrôleurs de domaine ».
A ce stade, Emmanuel Gras indique ne pas avoir eu connaissance d’attaque où des comptes ou des permissions aient été supprimés par un assaillant : les deux cas principaux observés sont soit le chiffrement du serveur faisant en définitive tomber le contrôleur de domaine, soit l’implantation discrète de modifications garantissant à l’assaillant les moyens d’assurer sa persistance dans l’environnement.
En cas d’incident majeur, la clé est en fait de disposer d’une base de travail. Généralement, et dans la mesure du possible, explique Emmanuel Gras, la démarche ne consiste pas à revenir à des états antérieurs de la base de données de l’annuaire : « on ne cherche pas à faire une restauration, parce que se pose la question de savoir si ce qui a été sauvegardé est sain, si n’y figurent pas déjà des altérations faites par un assaillant. En fait, dans tous les cas, une analyse en profondeur doit être faite, suivie éventuellement d’un nettoyage ». Du coup, autant le faire sur la base actuelle, « dont on sait qu’elle est compromise ».
Des sauvegardes hors ligne indispensables...
De là à conclure qu’il n’y a aucun intérêt à sauvegarder la base de données de son infrastructure Active Directory, il n’y a qu’un pas… qu’il faut bien se garder de franchir : « la sauvegarde est de toute façon nécessaire, pour le cas où l’on est victime d’une attaque où tout est chiffré, comme chez Maersk – sauvegarde hors ligne, bien sûr ! ».
Cette sauvegarde peut également éventuellement servir de base saine de comparaison pour des cas moins extrêmes. Mais là se pose la question de la fréquence des sauvegardes : pour un environnement limité, comme celui d’une PME, « les changements ne sont pas si fréquents ».
A l’inverse, pour une grosse structure telle qu’une multinationale, « on est sur des dizaines de modifications par seconde ». Là, même des sauvegardes quotidiennes demanderont d’importants efforts d’analyse : « ça aidera l’analyse, mais cela ne rendra pas la tâche triviale ». Des outils peuvent toutefois aider, à l’instar de Recovery Manager for AD de Quest Software, RecoveryManager Plus de ManageEngine, Vembu BDR Suite, ou encore Veeam Explorer for Microsoft Active Directory.
...mais qui ne simplifient pas nécessairement la tâche
Mais il n’y a pas pour autant de miracle à en attendre afin d'accélérer le processus de reconstruction : « lorsqu’on les découvre, les assaillants sont là depuis plusieurs semaines. Et pas question de restaurer une sauvegarde vieille de quelques mois ; le risque de casser beaucoup de choses est trop important, entre mots de passe applicatifs ou de postes de travail. Ces mots de passe changent régulièrement de manière automatique ».