Historiquement, l’authentification système des utilisateurs en environnement hétérogène a toujours obligé les administrateurs à maintenir plusieurs bases de credentials (par exemple, un hash NTLMv2 sous Windows et SHA sous Linux). L’adoption native de Kerberos par tous les systèmes favorise l'unification de l'authentification.
NFS est l'acronyme de Network File System, pour système de gestion de fichiers en réseau, utilisé couramment par les systèmes UNIX et les périphériques de stockage en réseau pour permettre à plusieurs clients de partager l'accès à des fichiers à distance. C'est un protocole qui consiste à faire exécuter une procédure distante avec échange de données et renvoi de résultats. Les premières versions ne définissaient pas de mécanisme d'authentification et de chiffrement pour les transferts des données sur le réseau, mais la version 4 de NFS nous permet de remédier à cette défaillance sécuritaire via le fameux protocole Kerberos.
Les opérations relatives à l’authentification Kerberos ne sont pas toujours remontées dans les journaux des contrôleurs de domaine, ce qui fait de ce protocole une arme de choix pour mener des attaques furtives en environnement Active Directory. Le mécanisme de pré-authentification de ce protocole offre par exemple des possibilités intéressantes pour attaquer les comptes d’un domaine.
Kerberos représente le service principal d’authentification dans un environnement Microsoft Active Directory. Cette solution étant largement déployée au sein des entreprises aujourd’hui, les attaques sur Kerberos sont devenues courantes et peuvent mener à la compromission totale des ressources d’un Système d’Information. Cet article a pour objectif de vous présenter différentes attaques portant sur ce protocole ainsi que quelques contre-mesures.
Cet article étudie les techniques de persistance Kerberos permettant un maintien efficace et furtif dans un domaine Active Directory suite à une compromission. Les concepts et outils utilisés à des fins offensives seront présentés dans l’article, ainsi que des moyens de remédiation défensifs en cas de suspicion de compromission.
Éditeur de presse spécialisé dans l’open source, la programmation, la cybersécurité, l’électronique et l’embarqué,
les Éditions Diamond sont nées en 1995 avec l’objectif de développer une offre rédactionnelle technique de qualité basée
sur les retours d’expériences de professionnels et de passionnés du milieu au travers de nos publications :
• GNU/Linux Magazine
• MISC
• Linux Pratique
• Hackable
En 2013 nous lançons la plateforme de documentation numérique Connect qui permet aux lecteurs d’explorer plus de
10 ans de ressources techniques issues de ses magazines phares.
Continuellement mise à jour au fil des publications et enrichie avec du contenu exclusif, elle constitue un outil de veille
efficace pour les professionnels qui souhaitent s’informer et se former aux dernières technologies. Connect offre
aujourd’hui une réponse unique aux besoins informationnels :
• des développeurs avec GNU/Linux Magazine
• des administrateurs système et réseau avec Linux Pratique
• des experts en sécurité informatique avec MISC
• des professionnels et passionnés d’électronique numérique et d’embarqué avec Hackable.
