Nouvelle couverture de la plateforme Vectra AI pour Copilot et Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Technique d'attaque

Requête LDAP

LDAP est un protocole largement utilisé pour gérer les utilisateurs, les appareils et les services dans un environnement d'entreprise. Il s'agit d'un élément important de la gestion des identités et des accès, mais il peut également permettre aux pirates de mener des opérations de reconnaissance, d'escalader leurs privilèges et d'exfiltrer des données.

Définition
Comment cela fonctionne-t-il ?
Pourquoi les attaquants l'utilisent-ils ?
Détection
Foire aux questions
Définition

Qu'est-ce qu'une requête LDAP ?

La requête LDAP (Lightweight Directory Access Protocol) est une commande qui demande des informations à un service d'annuaire. Elle permet aux applications d'accéder rapidement à des services tels qu'Active Directory et d'en conserver les données. Elle est couramment utilisée par les organisations pour gérer les comptes d'utilisateurs, les appareils et le contrôle d'accès. C'est également une technique utilisée par les pirates pour récupérer les informations d'identification des utilisateurs et d'autres données sensibles.

Comment cela fonctionne-t-il ?

Comment fonctionnent les attaques par injection LDAP

Une attaque LDAP se produit lorsqu'un attaquant injecte un code malveillant dans une requête LDAP. Comme les injections SQL, elle exploite l'absence de validation correcte des entrées et permet à l'attaquant de manipuler la requête en ajoutant des caractères spéciaux pour modifier sa logique. En conséquence, l'attaquant peut :

  • Contournement de l'authentification : Les attaquants peuvent manipuler les requêtes pour se connecter sans connaître les noms d'utilisateur et les mots de passe réels.
  • Élévation des privilèges : Les attaquants utilisent les requêtes LDAP pour identifier les comptes de service et les utilisateurs disposant de privilèges élevés, et pour exploiter les vulnérabilités ou les mauvaises configurations afin d'escalader les privilèges.
  • Exfiltrer des données : Les attaquants utilisent des requêtes LDAP excessives ou inhabituelles pour extraire des noms d'utilisateur, des mots de passe et d'autres données confidentielles de l'annuaire.
  • Dénombrer l'annuaire : Les attaquants utilisent souvent des requêtes LDAP pour énumérer les membres des utilisateurs et des groupes, et pour cartographier l'environnement AD.
  • Récolter des informations d'identification : Des requêtes LDAP malveillantes peuvent être utilisées pour recueillir des informations sur les politiques de mot de passe, d'expiration des mots de passe et de verrouillage des comptes, ce qui permet aux attaquants de se préparer à des attaques par mot de passe.

Les informations recueillies lors des requêtes LDAP aident souvent les attaquants à planifier et à lancer des tactiques plus sophistiquées. Dans les cas extrêmes, un attaquant cherche à prendre le contrôle total des services d'annuaire, ce qui lui permet d'accéder largement aux ressources et aux systèmes du réseau.

Processus d'injection de requêtes LDAP
Pourquoi les attaquants l'utilisent-ils ?

Pourquoi les attaquants ciblent-ils les annuaires LDAP ?

Les attaquants ciblent les annuaires LDAP parce qu'ils contiennent souvent des informations sensibles sur les comptes d'utilisateurs et la structure du réseau. Les requêtes LDAP sont utilisées dans les premières phases d'une attaque pour recueillir des informations sur les utilisateurs, les groupes, les ordinateurs et d'autres objets au sein d'un service d'annuaire.

Détections de plates-formes

Comment prévenir et détecter les menaces liées aux requêtes LDAP ?

La mesure la plus importante que les équipes de sécurité peuvent prendre pour arrêter les requêtes de recherche LDAP malveillantes est la détection et la réponse aux menaces. Cependant, plusieurs mesures de prévention peuvent contribuer à atténuer les menaces basées sur LDAP. Ces mesures sont les suivantes :

  • Contrôles d'accès basés sur les rôles (RBAC) : Restreindre les comptes qui peuvent effectuer des requêtes LDAP et limiter l'accès aux attributs sensibles. Seuls les comptes privilégiés doivent avoir accès aux informations critiques telles que l'appartenance à un groupe et les attributs des mots de passe.
  • Segmentation du réseau : Séparez les services d'annuaire sensibles du trafic réseau général afin de rendre plus difficile pour les attaquants de se déplacer latéralement et d'interroger votre serveur LDAP.
  • ‍Encryptage: Veillez à ce que le trafic LDAP soit crypté à l'aide de LDAP over SSL (LDAPS) afin d'empêcher toute interception ou falsification pendant la transmission.
  • Authentification forte et surveillance : Mettez en œuvre l'authentification multifactorielle (MFA) pour les comptes privilégiés et surveillez étroitement l'activité. Il est ainsi plus difficile pour les attaquants d'utiliser des informations d'identification volées pour effectuer des requêtes LDAP.
  • Audits fréquents : Vérifier régulièrement les autorisations LDAP et les schémas d'interrogation pour s'assurer qu'il n'y a pas de mauvaise configuration ou de signes d'abus.

Dès qu'un attaquant accède au réseau, vous disposez de quelques minutes pour détecter les menaces et y répondre avant qu'elles ne se transforment en véritable brèche. La clé consiste à analyser le trafic LDAP en temps réel, ce qui permet aux analystes de la sécurité d'identifier et de traiter rapidement les menaces liées à Active Directory. 

L'un des moyens d'y parvenir est de surveiller et d'enregistrer le trafic LDAP. Recueillez et analysez régulièrement les journaux LDAP à la recherche de schémas inhabituels. Certaines organisations s'appuient sur les SIEM pour signaler les requêtes suspectes sur la base de règles prédéfinies.

Cependant, une méthode plus efficace consiste à exploiter l'analyse comportementale pilotée par l'IA pour détecter les requêtes LDAP suspectes. Pour ce faire, la plateforme Vectra AI établit une base de référence de l'activité LDAP normale, qu'elle peut ensuite utiliser pour signaler les écarts indiquant une activité malveillante potentielle.

Aucun objet trouvé.
Explorer toutes les détections

Protégez votre réseau grâce à des détections avancées

La détection des requêtes LDAP suspectes est l'une des dizaines de détections avancées basées sur l'IA disponibles dans la plateforme Vectra AI , qui couvre 90 % des techniques MITRE ATT&CK pertinentes. Ensemble, elles permettent aux équipes de sécurité de prévenir les attaques connues et inconnues à un stade précoce de leur progression.

Explorer la plateforme
En savoir plus

Foire aux questions