Dans cet article, nous traiterons du protocole NTLM et en particulier d’une attaque inhérente à la nature de ce protocole, le relai NTLM. Il s’agit d’une attaque puissante, pouvant causer de nombreux dégâts.
Deux principaux mécanismes d'authentification existent sous Windows : NTLM et Kerberos. De par leur conception, ces deux mécanismes sont sensiblement différents et ne sont pas exposés aux mêmes problématiques. Le sujet de cet article est une attaque qui touche le protocole d’authentification NTLM. Nous allons dans un premier temps présenter les principaux mécanismes d’authentification et les protocoles qui lui sont associés au sein d'un environnement Active Directory. Ensuite, nous expliquerons les grands principes d’une attaque par relais NTLM en décrivant notamment les conditions nécessaires ainsi que les risques associés. Nous verrons qu’il est possible, de manière simple et efficace, d'élever ses privilèges sur un environnement Windows Active Directory en combinant plusieurs techniques, exemples à l’appui. Enfin, des recommandations permettant de se prémunir contre ce genre d'attaques seront détaillées.
1. LM, NTLM, NetNTLMv1, NetNTLMv2, késako...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première