Comment détecter et se protéger de l’attaque DCSync en environnement Active Directory
Présentation
Dans cet article, nous allons étudier l’attaque DCSync en environnement Active Directory. Nous verrons quel est le principe de cette attaque, quel est son impact sur un domaine Active Directory, ses conditions d’exploitation, mais aussi comment identifier si votre domaine est vulnérable et appliquer un correctif si c’est le cas.
Dans un second article qui fera office de suite, nous nous intéresserons également aux possibilités de détection de l’exploitation de cette attaque via les journaux d’évènements, mais aussi par l’analyse du trafic réseau.
L’attaque DCSync
Domain Controller Synchronization
DCSync signifie Domain Controller Synchronization. Ce n’est pas une vulnérabilité à proprement parler, mais plutôt une fonctionnalité de l’Active Directory qui permet aux contrôleurs de domaine de se synchroniser entre eux.
Lorsqu’un attaquant exploite DCSync au sein d’un domaine, il simule le comportement d’un contrôleur de domaine souhaitant effectuer une réplication auprès d’un autre contrôleur de domaine en utilisant le protocole MS-DRSR (Directory Replication Service Remote Protocol). Cela lui permet de récupérer l’intégralité des objets de l’Active Directory, incluant les hashs des mots de passe des objets utilisateur.
Par défaut, les membres des groupes “Admins du domaine”, “Administrateurs”, “Administrateurs d’entreprise” et “Contrôleur de domaine” ont les privilèges nécessaires pour légitimement effectuer une synchronisation avec le contrôleur de domaine.
En cela, l’attaque DCSync ne fait pas partie des opérations qu’un attaquant va utiliser en premier lors de son attaque pour compromettre un poste ou un compte utilisateur. Cette attaque apparaît généralement plus tard dans le chemin de compromission et constitue même l’une des dernières étapes.
Cette attaque peut aussi mener à la compromission du compte “krbtgt”, utilisé par le service Kerberos pour la création de tickets, ou encore à la création d’un Golden Ticket, un ticket Kerberos ultra-privilégié permettant à l’attaquant de garder un accès au domaine malgré le changement de mot de passe des comptes utilisateur.
Les permissions DS-Replication-Get-Changes et DS-Replication-Get-Changes-All
Dans le cadre du fonctionnement standard d’un domaine Windows, plusieurs contrôleurs de domaine peuvent cohabiter au sein d’un même domaine. Ces derniers ont alors besoin de se synchroniser entre eux afin d’avoir les mêmes informations.
Par exemple, un RODC (Read Only Domain Controller) n’effectuera jamais de modifications sur les objets de l’AD, mais il devra souvent se synchroniser avec les DC principaux afin d’avoir les dernières modifications.
Pour pouvoir effectuer une réplication avec le contrôleur de domaine principal, un contrôleur de domaine aura besoin de privilèges spécifiques. Le contrôleur de domaine principal devra vérifier que la demande de synchronisation provient bien d’un objet authentifié de l’Active Directory qui possède les permissions “DS-Replication-Get-Changes” et “DS-Replication-Get-Changes-All”.
C’est donc grâce à ces permissions que le contrôleur de domaine va autoriser la demande de synchronisation.
Mon domaine est-il vulnérable à DCSync ?
Si vous avez bien suivi, vous avez compris que la réponse est nécessairement oui. Nativement, certains objets ou comptes privilégiés disposent nativement des permissions nécessaires à DCSync. Néanmoins, il faut que ces objets soient aussi peu nombreux et maîtrisés que possible.
Nous allons à présent voir comment identifier les objets d’un domaine qui possède les permissions “DS-Replication-Get-Changes” et “DS-Replication-Get-Changes-All”.
Au sein de l’interface “Utilisateurs et Ordinateurs Active Directory”, il faut accéder à l’affichage “Fonctionnalités avancées” pour pouvoir afficher l’onglet “Sécurité” dans les propriétés d’un objet. Il nous faut ensuite effectuer un clic droit sur la racine de notre domaine, puis “Propriétés”, et enfin accéder à l’onglet “Sécurité”.
Se protéger de l’attaque DCSync
Maintenant que nous en savons plus sur ce qu’est l’attaque DCSync et son impact sur le domaine, nous pouvons évoquer les moyens de se protéger de cette attaque.
Le point le plus important est donc de s’assurer qu’aucune permission dangereuse n’existe au sein de votre domaine. Nous avons vu précédemment comment lister les objets de l’Active Directory possédant les permissions dangereuses relatives à DCSync. L’idée est donc de réaliser un contrôle des objets ayant les permissions de DCSync fréquemment.
Source : www.it-connect.fr