Security

Microsoft Defender predictive shielding stoppe les attaques AD

3 min de lecture

Résumé

Microsoft a expliqué comment le predictive shielding de Defender peut contenir la compromission d’un domaine Active Directory en restreignant les comptes à privilèges élevés exposés avant que des attaquants ne réutilisent des identifiants volés. Cette capacité aide les équipes de sécurité à réduire les mouvements latéraux et à combler l’écart de réponse lors d’attaques d’identité rapides.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Les attaques basées sur l’identité peuvent passer d’un seul serveur compromis à un contrôle complet du domaine Active Directory en quelques heures. Les dernières recherches de sécurité de Microsoft montrent comment le predictive shielding dans Microsoft Defender peut interrompre cette progression en restreignant de manière proactive les comptes privilégiés exposés avant que les attaquants n’exploitent des identifiants volés.

Pour les équipes de sécurité, c’est important, car la réponse traditionnelle ne commence souvent qu’après l’observation d’une utilisation malveillante des comptes. Le predictive shielding change ce modèle en agissant sur une exposition probable des identifiants en quasi temps réel.

Nouveautés

Microsoft a mis en avant une chaîne d’attaque réelle de 2025 dans le secteur public et a expliqué comment le predictive shielding, désormais intégré à automatic attack disruption dans Microsoft Defender, change l’issue.

Les principales capacités incluent :

  • La détection d’activités post-compromission associées au vol d’identifiants sur un appareil
  • L’évaluation des identités à privilèges élevés probablement exposées
  • L’application de restrictions just-in-time pour limiter l’abus d’identifiants et les mouvements latéraux
  • La réduction de l’accès des attaquants aux opérations d’identité sensibles pendant l’investigation des équipes de réponse

La recherche a montré comment les attaquants sont passés d’un web shell IIS à une élévation locale de privilèges, à l’extraction d’identifiants avec Mimikatz, puis à l’abus de l’accès au contrôleur de domaine, de la délégation Exchange et des outils Impacket.

Comment le predictive shielding aide

Dans l’incident décrit par Microsoft, les attaquants sont rapidement passés de l’accès initial à des opérations au niveau du domaine, notamment :

  • L’extraction de LSASS, SAM et d’autres éléments d’identification
  • La création de tâches planifiées sur un contrôleur de domaine
  • L’accès aux données NTDS pour un abus hors ligne des identifiants
  • L’implantation d’un web shell sur Exchange Server
  • L’énumération et l’abus des autorisations de délégation de boîtes aux lettres
  • L’utilisation d’outils tels que Impacket, PsExec et secretsdump pour les mouvements latéraux

Microsoft indique que le predictive shielding peut interrompre ce schéma plus tôt en restreignant les comptes au moment où ils sont probablement exposés, plutôt qu’en attendant une utilisation malveillante confirmée. Cette approche vise à combler le « speed gap » entre le vol d’identifiants et la réponse des défenseurs.

Impact pour les administrateurs IT

Pour les défenseurs qui gèrent des identités hybrides et Active Directory on-premises, c’est significatif. Une compromission de domaine est difficile à contenir, car les administrateurs ne peuvent pas simplement arrêter les contrôleurs de domaine ou les services d’identité centraux sans perturber l’activité.

Le predictive shielding apporte aux équipes SOC et identité une couche supplémentaire de confinement automatisé en :

  • Protégeant les comptes à privilèges élevés lors d’événements de vol d’identifiants
  • Ralentissant les mouvements latéraux des attaquants entre les serveurs et l’infrastructure d’identité
  • Donnant aux équipes de réponse plus de temps pour les tâches de remédiation comme les réinitialisations de mots de passe, la validation des ACL et la rotation de krbtgt

La fonctionnalité est disponible comme amélioration prête à l’emploi pour les clients Microsoft Defender for Endpoint P2 qui remplissent les prérequis Defender.

Prochaines étapes

Les administrateurs de sécurité devraient :

  • Vérifier les paramètres d’automatic attack disruption dans Microsoft Defender
  • Confirmer l’éligibilité et les prérequis pour le predictive shielding
  • Renforcer les chemins d’exposition d’IIS, Exchange et des contrôleurs de domaine
  • Auditer les identités privilégiées et les autorisations déléguées
  • Valider les playbooks de réponse aux incidents pour les scénarios de compromission de domaine

Le point clé est clair : le confinement proactif des identités devient essentiel pour défendre les environnements Active Directory contre les techniques modernes de mouvement latéral.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Security Research Team
Microsoft Defenderpredictive shieldingActive Directorylateral movementdomain compromise

Articles connexes

Security

Intrusion macOS Sapphire Sleet : points clés Defender

Microsoft Threat Intelligence a détaillé une campagne ciblant macOS menée par Sapphire Sleet, qui s’appuie sur l’ingénierie sociale et de fausses mises à jour logicielles plutôt que sur l’exploitation de vulnérabilités. La chaîne d’attaque repose sur l’exécution par l’utilisateur d’AppleScript et de commandes Terminal pour contourner les protections natives de macOS, ce qui rend particulièrement importantes les défenses multicouches, la sensibilisation des utilisateurs et la détection sur les endpoints.

Security

Stratégie d’inventaire cryptographique quantique

Microsoft incite les organisations à considérer l’inventaire cryptographique comme la première étape concrète vers la préparation post-quantique. L’entreprise présente un cycle continu de gestion de la posture cryptographique pour aider les équipes de sécurité à découvrir, évaluer, prioriser et corriger les risques cryptographiques dans le code, les réseaux, l’exécution et le stockage.

Security

Réponse aux incidents IA : ce que la sécurité change

Microsoft indique que les principes traditionnels de réponse aux incidents restent valables pour les systèmes d’IA, mais que les équipes doivent s’adapter aux comportements non déterministes, à des dommages plus rapides à grande échelle et à de nouvelles catégories de risques. L’entreprise souligne la nécessité d’une meilleure télémétrie IA, de plans de réponse transverses et d’une remédiation par étapes pour contenir rapidement les problèmes pendant que des correctifs à plus long terme sont développés.

Security

SOC agentique Microsoft : vision du futur SecOps

Microsoft présente un modèle de « SOC agentique » qui combine interruption autonome des menaces et agents IA pour accélérer les investigations et réduire la fatigue liée aux alertes. Cette approche vise à faire évoluer les opérations de sécurité d’une réponse réactive aux incidents vers une défense plus rapide et plus adaptative, afin de laisser davantage de temps aux équipes SOC pour la réduction stratégique des risques et la gouvernance.

Security

Attaques de paie Storm-2755 contre des employés canadiens

Microsoft a détaillé une campagne Storm-2755 à motivation financière visant des employés canadiens avec des attaques de détournement de paie. L’acteur malveillant a utilisé le SEO poisoning, le malvertising et des techniques d’adversary-in-the-middle pour voler des sessions, contourner le MFA hérité et modifier les informations de dépôt direct, faisant du MFA résistant au phishing et de la surveillance des sessions des défenses essentielles.

Security

Vulnérabilité Android EngageSDK : millions exposés

Microsoft a révélé une grave faille de redirection d’intention dans EngageSDK, un SDK tiers pour Android, exposant potentiellement des millions d’utilisateurs de portefeuilles crypto à des fuites de données et à une élévation de privilèges. Le problème a été corrigé dans EngageSDK version 5.2.1 et illustre le risque croissant lié aux dépendances opaques de la chaîne d’approvisionnement des applications mobiles.