Attaque d'un réseau Windows avec Responder

Magazine
Marque
MISC
Numéro
85
Mois de parution
mai 2016
Domaines


Résumé
Lors du démarrage d'un test d'intrusion interne, il est possible de se retrouver dans une situation désagréable où aucune vulnérabilité ne semble exploitable dans les services accessibles. Sans un premier accès à une machine du périmètre, il peut être compliqué d'atteindre la très convoitée position d'administrateur du domaine. Cependant, dans bien des cas, il va être possible de démarrer la compromission en exploitant les protocoles de résolution de noms utilisés par Windows. L'outil Responder est fait pour ça.


1. Résolution multicast

Lorsque l'on parle de système de résolution de noms, il est difficile de ne pas penser au protocole DNS permettant la conversion des noms d'hôtes en adresses IP, que ce soit sur Internet avec l'arborescence de serveurs DNS publics ou sur des réseaux locaux avec des serveurs DNS privés. Cependant, si on souhaite faire de la résolution de noms sur un réseau local, on ne souhaite pas forcément mettre en place un service DNS, qui peut être contraignant à configurer et à maintenir.

Pour cette raison, plusieurs protocoles ont été créés et publiés sous l’appellation générique « zeroconf ». Ils ont pour but de permettre la mise en place simple d'un réseau local incluant la résolution des noms d'hôtes.

1.1 Les protocoles communs

Il existe trois protocoles de résolution de noms « zeroconf » qui vont nous intéresser tout au long de cet article. Il s'agit de NetBios Name System, Link-Local Multicast Name Resolution et multicast DNS (NBNS, LLMNR...

Cet article est réservé aux abonnés. Il vous reste 94% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Les taxonomies se cachent pour ne pas mourir

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

« Attention, nouveau virus ! » Nombreux sont les articles à nous alerter régulièrement, par cette métonymie, sur l’émergence d’un nouveau malware. Pourtant, le terme de virus a-t-il encore un sens aujourd’hui ? Wannacry était-il un ver, ou un ransomware ? NotPetya, un wiper, ou bien un ver ? Et plus encore, au-delà de l’utilisation de termes et expressions se pose la question de la nécessaire catégorisation des incidents de cybersécurité ; pourquoi, comment, à quelles fins ? Essai (critique) de réponse.

Les difficultés du désassemblage sur ARM

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Cet article aborde les problèmes spécifiques à l’architecture ARM qui se posent lorsqu’on désassemble un exécutable, c’est-à-dire lorsqu’on l’analyse statiquement pour en produire une représentation en langage assembleur. En effet, les particularités de l’architecture ARM peuvent rendre le désassemblage – déjà habituellement compliqué – particulièrement ardu.

Zerologon pour les (mots de passe) nuls

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

ZeroLogon est LA vulnérabilité de septembre 2020 qui expose de nombreux domaines Windows à une compromission totale via un scénario d’exploitation réaliste et fiable. Mais ce qui donne à Zerologon ses lettres de noblesse c’est qu’elle repose essentiellement sur la mauvaise utilisation d’un algorithme cryptographique permettant de réaliser une attaque à clair choisi particulièrement astucieuse. Zoom sur la vulnérabilité la plus passionnante de la rentrée 2020 !