Nous faisions dans MISC n°68 un état des lieux des traces d’authentification laissées par les protocoles d’administration les plus répandus en environnement Windows. Celles-ci restent un « must », récupéré et réutilisé par les attaquants et les pentesters afin de rebondir et d’élever ses privilèges sur les réseaux. Faisons le point 5 ans après.
1. Introduction
1.1 La chasse aux « creds »
Lors de l’étude originale (voir MISC n°68), nous partions du constat que la chasse aux mots de passe, hash et autres Access Tokens était un pilier du test d’intrusion interne, menant bien souvent à la compromission en cascade de serveurs et postes de travail, jusqu’à la prise de contrôle du(des) domaine(s) présent(s).
Avec 5 ans de recul sur l’exercice, le premier constat issu du terrain est que ces techniques fonctionnent toujours aussi bien. Le mot de passe est encore bien souvent la pierre angulaire de la gestion des identités des réseaux d’entreprise et le durcissement des sessions Windows un vœu pieux.
Sans présenter à nouveau en détail tous leurs aspects techniques, nous pouvons présenter rapidement les éléments que nous chasserons :
- les hashes NTLM, facilement rejouables sur le réseau grâce à la technique « Pass-The-Hash » ;
- les hashes MS-Cache, à base de hashage MD4 successifs...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première