Cette série d’articles étudie les différentes techniques de mouvements latéraux au sein d’environnements Windows. Nous verrons dans ce dernier article de la série, les possibilités qu’offre le protocole DCOM dans une perspective offensive.
Après la compromission d’une première machine Windows au sein d’un domaine Windows Active Directory, l’attaquant va chercher à effectuer des mouvements latéraux jusqu’à ce qu’il réussisse à compromettre l’ensemble du parc généralement après avoir réussi à prendre le contrôle du domaine Active Directory.
Nous avons vu dans les précédents articles différentes techniques et outils associés pour réaliser cet objectif s’appuyant sur la création de services, de tâches planifiées puis de WMI. Ce quatrième article, dernier de la série, se concentre sur le déplacement latéral via l’exploitation des applications DCOM, référencé T1175 au sein du framework MITRE ATT&CK [1].
1. Exécution de code à distance au travers des applications DCOM
1.1 Présentation
Le protocole DCOM (Distributed Component Object Model) permet la communication et l’interaction entre objets COM d’applications différentes, localement ou à distance à travers...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
