À la DerbyCon 8 (2018), Will Schroeder (@ Harmj0y), Lee Christensen (@Tifkin_), Et Matt Nelson (@ enigma0x3), a parlé des risques imprévus de faire confiance à AD. Elles couvrent un certain nombre de méthodes de persistance et d’escalade de privilèges intéressantes, bien qu’une en particulier ait attiré mon attention.\nVue d'ensemble\nLee a découvert et présente un scénario dans lequel un compte avec une délégation non contrainte configurée (ce qui est assez courant) et le service Spooler exécuté sur un ordinateur, vous pouvez obtenir les informations d’identification de cet ordinateur envoyées au système avec une délégation non contrainte en tant qu’utilisateur.
"},{"id":"text-2","type":"text","heading":"","plain_text":"Nous constatons qu'environ 90% des environnements examinés et dans lesquels nous travaillons ont une sorte de délégation Kerberos configurée et environ 75% ont une délégation non contrainte configurée. Dans ma présentation à Black Hat en 2015 (ainsi que dans les discussions suivantes) et dans un message ici, j'ai identifié et mis en évidence les problèmes de sécurité avec une délégation sans contrainte.","html":"Nous constatons qu'environ 90% des environnements examinés et dans lesquels nous travaillons ont une sorte de délégation Kerberos configurée et environ 75% ont une délégation non contrainte configurée. Dans ma présentation à Black Hat en 2015 (ainsi que dans les discussions suivantes) et dans un message ici, j'ai identifié et mis en évidence les problèmes de sécurité avec une délégation sans contrainte.
"},{"id":"text-3","type":"text","heading":"","plain_text":"Voici une commande rapide PowerShell qui découvre les comptes avec délégation Kerberos (nécessite le module AD PowerShell):\nGet-ADObject -filter (UserAccountControl -BAND 0x0080000) -OR (UserAccountControl -BAND 0x1000000) -OR (msDS-AllowedToDelegateTo-like '*') -prop Nom, ObjectClass, PrimaryGroupID, UserAccountControl,","html":"Voici une commande rapide PowerShell qui découvre les comptes avec délégation Kerberos (nécessite le module AD PowerShell):\nGet-ADObject -filter (UserAccountControl -BAND 0x0080000) -OR (UserAccountControl -BAND 0x1000000) -OR (msDS-AllowedToDelegateTo-like '*') -prop Nom, ObjectClass, PrimaryGroupID, UserAccountControl,
"},{"id":"text-4","type":"text","heading":"","plain_text":"L'attaqueL'attaquant découvre un système avec une délégation Kerberos sans contrainte et le compromet. Ensuite, l'attaquant envoie une requête «RpcRemoteFindFirstPrinterChangeNotification» au contrôleur de domaine et le contrôleur de domaine répond pour tester la communication avec le demandeur. Si le contrôleur de domaine exécute le service Spooler (Spooler), cela fonctionnera (et il est facile de tester pour trouver 1 contrôleur de domaine exécutant ce service).\nLee explique que le problème est que tout utilisateur authentifié peut se connecter à distance au serveur d’impression du contrôleur de domaine (service spouleur) et demander une mise à jour des nouveaux travaux d’impression et lui demander simplement d’envoyer la notification au système avec une délégation non contrainte. Il testera immédiatement cette connexion, exposant ainsi les informations d'identification du compte de l'ordinateur (car le spouleur d'impression appartient à SYSTEM). Lee note que Microsoft dit que cela est voulu par la conception et «ne corrigera pas».Lee a posté un code PoC qu'il appelle SpoolSample sur Github.\nFlux conceptuel:","html":"L'attaqueL'attaquant découvre un système avec une délégation Kerberos sans contrainte et le compromet. Ensuite, l'attaquant envoie une requête «RpcRemoteFindFirstPrinterChangeNotification» au contrôleur de domaine et le contrôleur de domaine répond pour tester la communication avec le demandeur. Si le contrôleur de domaine exécute le service Spooler (Spooler), cela fonctionnera (et il est facile de tester pour trouver 1 contrôleur de domaine exécutant ce service).\nLee explique que le problème est que tout utilisateur authentifié peut se connecter à distance au serveur d’impression du contrôleur de domaine (service spouleur) et demander une mise à jour des nouveaux travaux d’impression et lui demander simplement d’envoyer la notification au système avec une délégation non contrainte. Il testera immédiatement cette connexion, exposant ainsi les informations d'identification du compte de l'ordinateur (car le spouleur d'impression appartient à SYSTEM). Lee note que Microsoft dit que cela est voulu par la conception et «ne corrigera pas».Lee a posté un code PoC qu'il appelle SpoolSample sur Github.\nFlux conceptuel:
"},{"id":"text-5","type":"text","heading":"","plain_text":"L'attaquant découvre et compromet un système avec une délégation Kerberos sans contrainte. Notez que si un attaquant compromet un contrôleur de domaine dans une forêt approuvée (avec une approbation bidirectionnelle), ceci peut être utilisé pour compromettre l'autre forêt.\nL'attaquant teste et découvre un contrôleur de domaine exécutant le service Spouleur d'impression.\nL’attaquant envoie la demande MS-RPRN RpcRemoteFindFirstPrinterChangeNotification (authentification Kerberos) au serveur d’impression du contrôleur de domaine.\nLe contrôleur de domaine envoie immédiatement une réponse au demandeur. Cette réponse implique que le contrôleur de domaine crée un ticket de service Kerberos (TGS) contenant le ticket d’authentification (TGT) du compte d’ordinateur du contrôleur de domaine, car Kerberos est impliqué et que le compte demandeur est configuré avec une délégation sans contrainte.\nL’attaquant a maintenant le compte d’ordinateur du contrôleur de domaine Kerberos TGT qui peut être utilisé pour emprunter l’identité du contrôleur de domaine.\nDCSync toutes les informations d'identification du compte (ou toute autre attaque impliquant des informations d'identification DA, le cas échéant).","html":"L'attaquant découvre et compromet un système avec une délégation Kerberos sans contrainte. Notez que si un attaquant compromet un contrôleur de domaine dans une forêt approuvée (avec une approbation bidirectionnelle), ceci peut être utilisé pour compromettre l'autre forêt.\nL'attaquant teste et découvre un contrôleur de domaine exécutant le service Spouleur d'impression.\nL’attaquant envoie la demande MS-RPRN RpcRemoteFindFirstPrinterChangeNotification (authentification Kerberos) au serveur d’impression du contrôleur de domaine.\nLe contrôleur de domaine envoie immédiatement une réponse au demandeur. Cette réponse implique que le contrôleur de domaine crée un ticket de service Kerberos (TGS) contenant le ticket d’authentification (TGT) du compte d’ordinateur du contrôleur de domaine, car Kerberos est impliqué et que le compte demandeur est configuré avec une délégation sans contrainte.\nL’attaquant a maintenant le compte d’ordinateur du contrôleur de domaine Kerberos TGT qui peut être utilisé pour emprunter l’identité du contrôleur de domaine.\nDCSync toutes les informations d'identification du compte (ou toute autre attaque impliquant des informations d'identification DA, le cas échéant).
"},{"id":"text-6","type":"text","heading":"","plain_text":"Le flux d’authentification conceptuel est présenté dans le graphique.","html":"Le flux d’authentification conceptuel est présenté dans le graphique.
"},{"id":"text-7","type":"text","heading":"","plain_text":"Les «ingrédients» clés requis pour que cela fonctionne, comme mentionné dans leur exposé:","html":"Les «ingrédients» clés requis pour que cela fonctionne, comme mentionné dans leur exposé:
"},{"id":"text-8","type":"text","heading":"","plain_text":"Compte avec délégation Kerberos sans contrainte (un contrôleur de domaine dans une forêt approuvée utilisant une approbation bidirectionnelle, par exemple)\nCompromettre ce compte.\nLe contrôleur de domaine s'exécute en tant que serveur d'impression (le service Spouleur est en cours d'exécution).","html":"Compte avec délégation Kerberos sans contrainte (un contrôleur de domaine dans une forêt approuvée utilisant une approbation bidirectionnelle, par exemple)\nCompromettre ce compte.\nLe contrôleur de domaine s'exécute en tant que serveur d'impression (le service Spouleur est en cours d'exécution).
"},{"id":"text-9","type":"text","heading":"","plain_text":"Ce problème s'applique également à toutes les approbations de forêt.","html":"Ce problème s'applique également à toutes les approbations de forêt.
"},{"id":"text-10","type":"text","heading":"","plain_text":"Atténuation\nNotez que cet article se concentre sur les contrôleurs de domaine, mais que tous les serveurs sont potentiellement exposés à cette attaque.Atténuez ce problème spécifique en désactivant le service Spouleur d’impression sur tous les serveurs pour lesquels il n’est pas nécessaire de s’exécuter et assurez-vous qu’il n’y a pas de compte avec une délégation non contrainte configurée.\nMISE À JOUR (12 février 2019)Microsoft a publié des instructions supplémentaires concernant l’impact de ce problème sur plusieurs forêts.\nhttps://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190006\nMISE À JOUR (21 mars 2019)Microsoft a changé cela en CVE-2019-0683 et le corrigera. L'article de Microsoft 4490425 décrit les modifications apportées aux approbations pour se protéger contre ce problème.\nBonne conversation Will, Lee et Matt!\nVidéo expliquant le problème\nRéférences\n(Visité 16 236 fois, 5 visites aujourd'hui)","html":"Atténuation\nNotez que cet article se concentre sur les contrôleurs de domaine, mais que tous les serveurs sont potentiellement exposés à cette attaque.Atténuez ce problème spécifique en désactivant le service Spouleur d’impression sur tous les serveurs pour lesquels il n’est pas nécessaire de s’exécuter et assurez-vous qu’il n’y a pas de compte avec une délégation non contrainte configurée.\nMISE À JOUR (12 février 2019)Microsoft a publié des instructions supplémentaires concernant l’impact de ce problème sur plusieurs forêts.\nhttps://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190006\nMISE À JOUR (21 mars 2019)Microsoft a changé cela en CVE-2019-0683 et le corrigera. L'article de Microsoft 4490425 décrit les modifications apportées aux approbations pour se protéger contre ce problème.\nBonne conversation Will, Lee et Matt!\nVidéo expliquant le problème\nRéférences\n(Visité 16 236 fois, 5 visites aujourd'hui)
"},{"id":"text-11","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"À la DerbyCon 8 (2018), Will Schroeder (@ Harmj0y), Lee Christensen (@Tifkin_), Et Matt Nelson (@ enigma0x3), a parlé des risques imprévus de faire confiance à AD. Elles couvrent un certain nombre de méthodes de persistance et d’escalade de privilèges intéressantes, bien qu’une en particulier ait attiré mon attention.\nVue d'ensemble\nLee a découvert et présente un scénario dans lequel un compte avec une délégation non contrainte configurée (ce qui est assez courant) et le service Spooler exécuté sur un ordinateur, vous pouvez obtenir les informations d’identification de cet ordinateur envoyées au système avec une délégation non contrainte en tant qu’utilisateur."},{"id":"text-2","heading":"Text","content":"Nous constatons qu'environ 90% des environnements examinés et dans lesquels nous travaillons ont une sorte de délégation Kerberos configurée et environ 75% ont une délégation non contrainte configurée. Dans ma présentation à Black Hat en 2015 (ainsi que dans les discussions suivantes) et dans un message ici, j'ai identifié et mis en évidence les problèmes de sécurité avec une délégation sans contrainte."},{"id":"text-3","heading":"Text","content":"Voici une commande rapide PowerShell qui découvre les comptes avec délégation Kerberos (nécessite le module AD PowerShell):\nGet-ADObject -filter (UserAccountControl -BAND 0x0080000) -OR (UserAccountControl -BAND 0x1000000) -OR (msDS-AllowedToDelegateTo-like '*') -prop Nom, ObjectClass, PrimaryGroupID, UserAccountControl,"},{"id":"text-4","heading":"Text","content":"L'attaqueL'attaquant découvre un système avec une délégation Kerberos sans contrainte et le compromet. Ensuite, l'attaquant envoie une requête «RpcRemoteFindFirstPrinterChangeNotification» au contrôleur de domaine et le contrôleur de domaine répond pour tester la communication avec le demandeur. Si le contrôleur de domaine exécute le service Spooler (Spooler), cela fonctionnera (et il est facile de tester pour trouver 1 contrôleur de domaine exécutant ce service).\nLee explique que le problème est que tout utilisateur authentifié peut se connecter à distance au serveur d’impression du contrôleur de domaine (service spouleur) et demander une mise à jour des nouveaux travaux d’impression et lui demander simplement d’envoyer la notification au système avec une délégation non contrainte. Il testera immédiatement cette connexion, exposant ainsi les informations d'identification du compte de l'ordinateur (car le spouleur d'impression appartient à SYSTEM). Lee note que Microsoft dit que cela est voulu par la conception et «ne corrigera pas».Lee a posté un code PoC qu'il appelle SpoolSample sur Github.\nFlux conceptuel:"},{"id":"text-5","heading":"Text","content":"L'attaquant découvre et compromet un système avec une délégation Kerberos sans contrainte. Notez que si un attaquant compromet un contrôleur de domaine dans une forêt approuvée (avec une approbation bidirectionnelle), ceci peut être utilisé pour compromettre l'autre forêt.\nL'attaquant teste et découvre un contrôleur de domaine exécutant le service Spouleur d'impression.\nL’attaquant envoie la demande MS-RPRN RpcRemoteFindFirstPrinterChangeNotification (authentification Kerberos) au serveur d’impression du contrôleur de domaine.\nLe contrôleur de domaine envoie immédiatement une réponse au demandeur. Cette réponse implique que le contrôleur de domaine crée un ticket de service Kerberos (TGS) contenant le ticket d’authentification (TGT) du compte d’ordinateur du contrôleur de domaine, car Kerberos est impliqué et que le compte demandeur est configuré avec une délégation sans contrainte.\nL’attaquant a maintenant le compte d’ordinateur du contrôleur de domaine Kerberos TGT qui peut être utilisé pour emprunter l’identité du contrôleur de domaine.\nDCSync toutes les informations d'identification du compte (ou toute autre attaque impliquant des informations d'identification DA, le cas échéant)."},{"id":"text-6","heading":"Text","content":"Le flux d’authentification conceptuel est présenté dans le graphique."},{"id":"text-7","heading":"Text","content":"Les «ingrédients» clés requis pour que cela fonctionne, comme mentionné dans leur exposé:"},{"id":"text-8","heading":"Text","content":"Compte avec délégation Kerberos sans contrainte (un contrôleur de domaine dans une forêt approuvée utilisant une approbation bidirectionnelle, par exemple)\nCompromettre ce compte.\nLe contrôleur de domaine s'exécute en tant que serveur d'impression (le service Spouleur est en cours d'exécution)."},{"id":"text-9","heading":"Text","content":"Ce problème s'applique également à toutes les approbations de forêt."},{"id":"text-10","heading":"Text","content":"Atténuation\nNotez que cet article se concentre sur les contrôleurs de domaine, mais que tous les serveurs sont potentiellement exposés à cette attaque.Atténuez ce problème spécifique en désactivant le service Spouleur d’impression sur tous les serveurs pour lesquels il n’est pas nécessaire de s’exécuter et assurez-vous qu’il n’y a pas de compte avec une délégation non contrainte configurée.\nMISE À JOUR (12 février 2019)Microsoft a publié des instructions supplémentaires concernant l’impact de ce problème sur plusieurs forêts.\nhttps://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190006\nMISE À JOUR (21 mars 2019)Microsoft a changé cela en CVE-2019-0683 et le corrigera. L'article de Microsoft 4490425 décrit les modifications apportées aux approbations pour se protéger contre ce problème.\nBonne conversation Will, Lee et Matt!\nVidéo expliquant le problème\nRéférences\n(Visité 16 236 fois, 5 visites aujourd'hui)"},{"id":"text-11","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/09/DerbyCon-UROTAD-PrinterBugSlide-SO1.png"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/09/22/serveur-dimpression-de-controleur-de-domaine-delegation-kerberos-non-contrainte-foret-active-directory-pwned-securite-active-directory-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/09/22/serveur-dimpression-de-controleur-de-domaine-delegation-kerberos-non-contrainte-foret-active-directory-pwned-securite-active-directory-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/09/22/serveur-dimpression-de-controleur-de-domaine-delegation-kerberos-non-contrainte-foret-active-directory-pwned-securite-active-directory-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}