Retour aux actualités
    Red Team

    Lateral movement et escalade de privilèges : techniques et défenses

    Après l'accès initial, un attaquant cherche à se déplacer latéralement dans le réseau pour atteindre ses objectifs (données, systèmes critiques, Domain Controllers) et à élever ses privilèges. Comprendre ces techniques est indispensable pour concevoir des défenses efficaces et détecter les compromissions avant qu'elles ne deviennent des incidents majeurs.

    Techniques de lateral movement

    Pass-the-Hash (PtH)

    Après extraction d'un hash NTLM via Mimikatz ou secretsdump, l'attaquant s'authentifie sur d'autres machines sans connaître le mot de passe en clair. Fonctionne avec l'authentification NTLM. Outils : Mimikatz, Impacket psexec, CrackMapExec.

    Défense : Credential Guard (isole les secrets LSASS dans un VTL séparé), Protected Users group, désactivation de NTLM sur les comptes sensibles, LAPS pour les mots de passe admin locaux uniques.

    Pass-the-Ticket (PtT) et Golden/Silver Ticket

    Injection d'un ticket Kerberos (TGT ou TGS) légitime ou forgé pour accéder à des ressources. Le Golden Ticket (forgé depuis le hash krbtgt) donne accès à toutes les ressources du domaine et est valide 10 ans par défaut.

    Défense : rotation régulière du mot de passe krbtgt (double rotation), Protected Users group (empêche la mise en cache des tickets), monitoring des tickets avec durée de vie anormale dans le SIEM.

    Exécution distante (WMI, PsExec, DCOM, WinRM)

    Les protocoles d'administration distante Windows sont couramment détournés pour le lateral movement :

    • WMI (Windows Management Instrumentation) : exécution de commandes, persistance, extraction d'informations système.
    • PsExec (Sysinternals) : exécution distante via SMB, crée un service temporaire.
    • DCOM (Distributed COM) : invocation d'objets COM pour exécution distante via MMC20, ShellWindows.
    • WinRM / PowerShell Remoting : port 5985/5986, fréquemment utilisé par les attaquants ET les défenseurs.

    Défense : restreindre WMI et WinRM aux seules machines d'administration, firewall host-based, monitoring Event IDs 4648, 4624 (logon type 3), Sysmon event ID 3 (connexions réseau).

    Abus des partages réseau (SMB)

    Recherche de shares avec accès écriture (via net view, CrackMapExec spider_plus), dépôt de fichiers malveillants (.lnk capturant des hashes NTLMv2), infection de fichiers partagés. Monitoring : Event ID 5140 (accès aux partages), SMB signing obligatoire pour prévenir le relay NTLM.

    Techniques d'escalade de privilèges

    Windows Privilege Escalation

    • Token Impersonation : voler le token d'un processus privilégié (SYSTEM, admin) avec SeImpersonatePrivilege. Exploits : JuicyPotato, PrintSpoofer, GodPotato.
    • UAC Bypass : contourner User Account Control via des binaires auto-elevated ou des clés de registre. Détection : EventID 4616 (changement de privilèges système).
    • DLL Hijacking : remplacer une DLL recherchée dans un répertoire inscriptible par un payload malveillant.
    • Unquoted Service Paths : injection dans le chemin d'un service Windows dont le chemin contient des espaces non protégés.
    • Always Install Elevated : GPO mal configurée permettant l'installation de MSI en tant que SYSTEM.

    Linux Privilege Escalation

    • SUID/SGID binaries : binaires avec le bit SUID permettant d'exécuter des commandes en tant que root (GTFObins).
    • Sudo misconfiguration : entrées /etc/sudoers trop permissives (NOPASSWD, wildcards).
    • Kernel exploits : DirtyCow (CVE-2016-5195), PwnKit (CVE-2021-4034) si le kernel n'est pas à jour.
    • Cron jobs inscriptibles : scripts exécutés en root mais modifiables par un utilisateur non-privilégié.
    • Capabilities Linux : capacités accordées à des binaires permettant des actions normalement réservées à root.

    Stratégie de détection et défense

    • Segmentation réseau : empêcher les connexions latérales non nécessaires entre postes (workstation isolation). Micro-segmentation pour les serveurs sensibles.
    • Principe de moindre privilège : aucun compte admin local partagé (LAPS), aucun Domain Admin en session interactive sur les serveurs applicatifs.
    • Détection basée sur les TTPs MITRE ATT&CK : règles Sigma dans le SIEM pour les patterns T1021 (Remote Services), T1550 (Use Alternate Auth Material), T1055 (Process Injection).
    • Deception technology : honeypots et honeytokens (faux comptes, faux partages) pour détecter le lateral movement dès qu'il commence.
    • Privileged Access Workstations (PAW) : postes dédiés pour les tâches d'administration, sans accès Internet, avec contrôle applicatif strict.

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.