Dans cet épisode, nous recevons Benjamin Delpy qui est l’auteur de Mimikatz.

Nous parlons des différentes problématiques de sécurité mises en évidence avec mimkatz. Nous abordons également la problématique de la vulnérabilité ms14-068 qui permet à un attaquant de faire une escalade de privilège pour obtenir les droits de l’admin du domaine.

Afin de limiter les risques associés à ces sujets, il convient  de suivre les recommandations suivantes : https://technet.microsoft.com/en-us/security/dn920237

En synthèse :

– Ouvrir sa session et utiliser ses applications en tant qu’utilisateur standard

– Faire en sorte d’utiliser les droits d’administration les plus restreints possible

– Ne pas permettre les comptes locaux de se connecter via le réseau

– Quand vous travaillez avec un compte qui utilise les plus hauts niveaux de privilèges, ne travaillez pas à travers le réseau et configurez LSA pour limiter les risques https://technet.microsoft.com/en-us/library/dn408187.aspx

– Fermez complètement vos sessions plutôt que de simplement vous déconnecter.

– Deployer de l’authentification en mode “silos” et renforcer les silos sensibles en faisant en sorte que certains services ne soient accessibles qu’à partir de certaines machines https://technet.microsoft.com/library/dn486813.aspx

– Vos mots de passe sont comme vos sous-vêtements :  changez-les souvent, ne les prêtez à personne et ne les laissez pas trainer !

Liste des recommandations *techniques* Microsoft:

https://technet.microsoft.com/library/dn518179.aspx

http://blogs.technet.com/b/enterprisemobility/archive/2014/12/03/improve-security-with-identity-management-password-hashing-and-reports.aspx

En ce qui concerne ms14-068, voici le patch à appliquer ABSOLUMENT ! :

https://support.microsoft.com/kb/3011780

Si vous ne pouvez pas installer ce patch dès maintenant, je vous recommande de vous tourner vers des solutions qui permettent  de faire du virtual patching