Magazine
Domaines
Résumé
Nous faisions dans MISC n°68 un état des lieux des traces d’authentification laissées par les protocoles d’administration les plus répandus en environnement Windows. Celles-ci restent un « must », récupéré et réutilisé par les attaquants et les pentesters afin de rebondir et d’élever ses privilèges sur les réseaux. Faisons le point 5 ans après.
1. Introduction
1.1 La chasse aux « creds »
Lors de l’étude originale (voir MISC n°68), nous partions du constat que la chasse aux mots de passe, hash et autres Access Tokens était un pilier du test d’intrusion interne, menant bien souvent à la compromission en cascade de serveurs et postes de travail, jusqu’à la prise de contrôle du(des) domaine(s) présent(s).
Avec 5 ans de recul sur l’exercice, le premier constat issu du terrain est que ces techniques fonctionnent toujours aussi bien. Le mot de passe est encore bien souvent la pierre angulaire de la gestion des identités des réseaux d’entreprise et le durcissement des sessions Windows un vœu pieux.
Sans présenter à nouveau en détail tous leurs aspects techniques, nous pouvons présenter rapidement les éléments que nous chasserons :
- les hashes NTLM, facilement rejouables sur le réseau grâce à la technique « Pass-The-Hash » ;
- les hashes MS-Cache, à base de hashage MD4 successifs de l’identifiant et du...
Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Déjà abonné ? Connectez-vous