16 octobre 2024

Krusell France

Ta dose d'actu digital !

Comment détecter et se protéger de l’attaque DCSync en environnement Active Directory

2 semaines ago Julien Castex
qu’est-ce que l’attaque DCSync ?
Rate this post

Présentation

Sommaire masquer
1 Présentation
2 L’attaque DCSync
3 Les permissions DS-Replication-Get-Changes et DS-Replication-Get-Changes-All
4 Mon domaine est-il vulnérable à DCSync ?
5 Se protéger de l’attaque DCSync
6 Actualités similaires :

Dans cet article, nous allons étudier l’attaque DCSync en environnement Active Directory. Nous verrons quel est le principe de cette attaque, quel est son impact sur un domaine Active Directory, ses conditions d’exploitation, mais aussi comment identifier si votre domaine est vulnérable et appliquer un correctif si c’est le cas.

Dans un second article qui fera office de suite, nous nous intéresserons également aux possibilités de détection de l’exploitation de cette attaque via les journaux d’évènements, mais aussi par l’analyse du trafic réseau.

L’attaque DCSync

Domain Controller Synchronization

DCSync signifie Domain Controller Synchronization. Ce n’est pas une vulnérabilité à proprement parler, mais plutôt une fonctionnalité de l’Active Directory qui permet aux contrôleurs de domaine de se synchroniser entre eux.

Lorsqu’un attaquant exploite DCSync au sein d’un domaine, il simule le comportement d’un contrôleur de domaine souhaitant effectuer une réplication auprès d’un autre contrôleur de domaine en utilisant le protocole MS-DRSR (Directory Replication Service Remote Protocol). Cela lui permet de récupérer l’intégralité des objets de l’Active Directory, incluant les hashs des mots de passe des objets utilisateur.

Par défaut, les membres des groupes “Admins du domaine”, “Administrateurs”, “Administrateurs d’entreprise” et “Contrôleur de domaine” ont les privilèges nécessaires pour légitimement effectuer une synchronisation avec le contrôleur de domaine.

En cela, l’attaque DCSync ne fait pas partie des opérations qu’un attaquant va utiliser en premier lors de son attaque pour compromettre un poste ou un compte utilisateur. Cette attaque apparaît généralement plus tard dans le chemin de compromission et constitue même l’une des dernières étapes.

Cette attaque peut aussi mener à la compromission du compte “krbtgt”, utilisé par le service Kerberos pour la création de tickets, ou encore à la création d’un Golden Ticket, un ticket Kerberos ultra-privilégié permettant à l’attaquant de garder un accès au domaine malgré le changement de mot de passe des comptes utilisateur.

Les permissions DS-Replication-Get-Changes et DS-Replication-Get-Changes-All

Dans le cadre du fonctionnement standard d’un domaine Windows, plusieurs contrôleurs de domaine peuvent cohabiter au sein d’un même domaine. Ces derniers ont alors besoin de se synchroniser entre eux afin d’avoir les mêmes informations.

Par exemple, un RODC (Read Only Domain Controller) n’effectuera jamais de modifications sur les objets de l’AD, mais il devra souvent se synchroniser avec les DC principaux afin d’avoir les dernières modifications.

Pour pouvoir effectuer une réplication avec le contrôleur de domaine principal, un contrôleur de domaine aura besoin de privilèges spécifiques. Le contrôleur de domaine principal devra vérifier que la demande de synchronisation provient bien d’un objet authentifié de l’Active Directory qui possède les permissions “DS-Replication-Get-Changes” et “DS-Replication-Get-Changes-All”.

C’est donc grâce à ces permissions que le contrôleur de domaine va autoriser la demande de synchronisation.

Mon domaine est-il vulnérable à DCSync ?

Si vous avez bien suivi, vous avez compris que la réponse est nécessairement oui. Nativement, certains objets ou comptes privilégiés disposent nativement des permissions nécessaires à DCSync. Néanmoins, il faut que ces objets soient aussi peu nombreux et maîtrisés que possible.

Nous allons à présent voir comment identifier les objets d’un domaine qui possède les permissions “DS-Replication-Get-Changes” et “DS-Replication-Get-Changes-All”.

Au sein de l’interface “Utilisateurs et Ordinateurs Active Directory”, il faut accéder à l’affichage “Fonctionnalités avancées” pour pouvoir afficher l’onglet “Sécurité” dans les propriétés d’un objet. Il nous faut ensuite effectuer un clic droit sur la racine de notre domaine, puis “Propriétés”, et enfin accéder à l’onglet “Sécurité”.

Se protéger de l’attaque DCSync

Maintenant que nous en savons plus sur ce qu’est l’attaque DCSync et son impact sur le domaine, nous pouvons évoquer les moyens de se protéger de cette attaque.

Le point le plus important est donc de s’assurer qu’aucune permission dangereuse n’existe au sein de votre domaine. Nous avons vu précédemment comment lister les objets de l’Active Directory possédant les permissions dangereuses relatives à DCSync. L’idée est donc de réaliser un contrôle des objets ayant les permissions de DCSync fréquemment.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Comment améliorer la détection des attaques par brute force sur un Active Directory ?
  2. Comment corriger la vulnérabilité CVE-2024-37085 dans VMware ESXi intégré à un domaine Active Directory ?
  3. Créer un domaine Active Directory sécurisé avec Hello-My-Dir
  4. Débloquer des comptes utilisateur Active Directory avec PowerShell: Guide complet
  5. Décryptage de l’acquisition de PingCastle par Netwrix : ce que cela signifie pour la sécurité de vos domaines Active Directory
  6. Comment savoir si Windows est activé ?
Tags:

Plus d'actu

obtenir Windows 11 24H2 plus rapidement

Obtenez Windows 11 24H2 rapidement : 2 méthodes simples et efficaces

9 heures ago Julien Castex
RPCFirewall - Firewall RPC Windows

Protégez vos systèmes Windows avec RPCFirewall : Tutoriel complet

11 heures ago Julien Castex
ChatGPT - OpenAI a perturbé plus de 20 opérations malveillantes

OpenAI lutte contre les cybercriminels avec ChatGPT

13 heures ago Julien Castex

Vous avez peut-être manqué

The Until Dawn movie has a release date, and it won't be too long until you get to complain that they didn't go with your favourite ending

Sony annonce la date de sortie du film live-action Until Dawn pour avril 2025.

19 minutes ago Alex Lopez
Unlocking your Pixel 9's bootloader will disable these AI features

Les fonctionnalités de sécurité du réseau cellulaire d’Android 15 ne sont pas disponibles dans la version stable

35 minutes ago Julien Castex
Samsung shares its own Galaxy Ring unboxing, months after its launch

Samsung Galaxy Ring : unboxing, caractéristiques et prix. Découvrez le nouveau wearable de Samsung!

2 heures ago Romain Barry
Motorola is developing AI LAMs for smartphones

Motorola prépare l’arrivée d’une intelligence artificielle révolutionnaire

2 heures ago Julien Castex