đŸ•”️ Voici les 10 principales mĂ©thodes d’attaque d’un serveur Active Directory

🎯 Introduction

L’Active Directory (AD) est le cƓur nĂ©vralgique de la plupart des infrastructures d’entreprise sous Windows. Il gĂšre utilisateurs, machines, permissions, politiques… Bref, c’est le Saint-Graal pour tout attaquant. Une fois l’AD compromis, le rĂ©seau est Ă  genoux.

Mais quelles sont les mĂ©thodes les plus utilisĂ©es pour y parvenir ? Voici un tour d’horizon des 10 techniques les plus redoutables utilisĂ©es pour compromettre un AD.

1. đŸ§© Kerberoasting

Objectif : extraire les hash de mot de passe de comptes de service Ă  partir de tickets Kerberos.

Comment ?
L’attaquant, authentifiĂ© dans le domaine, demande un ticket de service (TGS) pour un compte ayant un Service Principal Name (SPN), puis tente de casser le hash hors-ligne.

Outils : Rubeus, Impacket, Hashcat

2. 🎭 Pass-the-Hash (PtH)

Objectif : se faire passer pour un autre utilisateur sans connaĂźtre son mot de passe.

Comment ?
En utilisant directement le hash NTLM du mot de passe pour s’authentifier sur d’autres machines/services.

Outils : Mimikatz, CrackMapExec

3. đŸ•¶️ Pass-the-Ticket (PtT)

Objectif : utiliser un ticket Kerberos volé pour accéder à des ressources réseau.

Comment ?
L’attaquant injecte un TGT/TGS dans sa session et se fait passer pour l’utilisateur cible.

Outils : Rubeus, Mimikatz

4. 🏰 Golden Ticket

Objectif : forger un ticket Kerberos TGT pour n’importe quel utilisateur, y compris admin, sans authentification.

Comment ?
Une fois que l’attaquant a accĂšs au hash du compte KRBTGT, il peut crĂ©er des tickets valides indĂ©finiment.

Conséquence : contrÎle total du domaine.

5. 🛠️ Silver Ticket

Objectif : forger un ticket de service (TGS) pour un service spécifique.

Comment ?
L’attaquant a besoin du hash d’un compte de service. Moins puissant qu’un Golden Ticket, mais souvent plus discret.

6. 🔓 Credential Dumping

Objectif : récupérer les identifiants et mots de passe en clair ou en hash sur les machines.

Comment ?
L’attaquant utilise des outils pour extraire les informations d’authentification de la mĂ©moire.

Outils : Mimikatz, lsass dump, Procdump

7. 🧬 DCSync Attack

Objectif : simuler un contrĂŽleur de domaine pour demander les hash de tous les comptes.

Comment ?
En abusant de droits de réplication (replication permissions), souvent mal configurés.

RĂ©sultat : L’attaquant rĂ©cupĂšre les hashs AD entiers… sans toucher un seul DC.

Outils : Mimikatz, Impacket

8. 🧹 Exploitation de dĂ©lĂ©gation (Kerberos Delegation)

Objectif : exploiter des configurations de délégation Kerberos mal sécurisées.

đŸ”č Unconstrained Delegation

→ Tout service peut accĂ©der Ă  tous les tickets TGT des utilisateurs. Jackpot si compromis.

đŸ”č Resource-Based Constrained Delegation (RBCD)

→ L’attaquant ajoute un compte comme dĂ©lĂ©gable sur un service cible pour s’en servir comme pivot.

9. đŸ”„ Abus de GPOs et ACLs

Objectif : utiliser des droits d’accĂšs mal configurĂ©s pour prendre le contrĂŽle du domaine.

Exemples :

  • Modifier une GPO pour exĂ©cuter du code malveillant au dĂ©marrage.

  • Écrire dans les ACLs d’un objet AD pour s’ajouter comme administrateur.

Outils : BloodHound, SharpHound, PowerView

10. đŸ§± NTLM Relay Attack

Objectif : relayer des authentifications NTLM vers d’autres services pour se connecter sans mot de passe.

Comment ?
Un attaquant intercepte une tentative d’authentification NTLM, puis la relaie immĂ©diatement vers une autre machine cible.

Conditions :

  • NTLM doit ĂȘtre activĂ©.

  • SMB/LDAP n’utilisent pas de signature (ou vulnĂ©rables).

Outils : ntlmrelayx (Impacket), mitm6

🛡️ Conclusion : L’AD, un chĂąteau de cartes si mal gĂ©rĂ©

Ces dix techniques ne sont que la partie visible de l’iceberg. Ce qui les rend si puissantes ? Elles s’appuient souvent sur de simples erreurs de configuration, de droits excessifs ou de pratiques obsolĂštes (comme l’usage massif de NTLM).

 

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Analyse technique du VLAN Hopping : Switch Spoofing et Double Tagging

Image
Connaissez-vous cette menace qui pÚse sur votre réseau ? Les réseaux locaux virtuels (VLAN) sont une technologie essentielle pour segmenter les réseaux et améliorer la sécurité. Cependant, une faille de sécurité connue sous le nom de VLAN hopping peut compromettre cette segmentation. Cette attaque permet à un attaquant situé dans un VLAN d'accéder à des ressources et des informations appartenant à d'autres VLAN, potentiellement critiques. Cet article examine les vulnérabilités qui rendent possible le VLAN hopping et propose des solutions pour renforcer la sécurité des réseaux. Imaginez un immeuble avec plusieurs appartements (les VLAN). Normalement, les habitants d'un appartement ne peuvent pas accéder aux autres. Le VLAN Hopping est comme un cambrioleur qui trouve un moyen de passer d'un appartement à l'autre sans autorisation. Le VLAN Hopping, ou "saut de VLAN" en français, est une technique d'attaque informatique qui permet à un attaquant d'accé...
Lire la suite

🔐 Cyberattaques contre Airtel : RĂ©alitĂ© Technique, Enjeux et DĂ©fenses

Image
  🧭 Introduction Bharti Airtel , fondĂ©e en Inde en 1995, est l’un parmis les plus grands opĂ©rateurs de tĂ©lĂ©communications mobiles et Internet dans le monde. PrĂ©sente dans 17 pays Ă  travers l’Asie et l’Afrique, l’entreprise fournit des services de tĂ©lĂ©phonie mobile, accĂšs Internet, fibre optique, tĂ©lĂ©vision numĂ©rique , mais aussi des solutions cloud et paiement mobile . Avec une base de plus de 500 millions d’abonnĂ©s et une infrastructure numĂ©rique interconnectĂ©e, c'est normal que Airtel soit une cible stratĂ©gique pour les cybercriminels et les groupes APT (Advanced Persistent Threat) , qui cherchent Ă  exploiter les moindres failles dans ses systĂšmes d’information. Ce rapport propose une lecture technique et factuelle des incidents majeurs signalĂ©s ou suspectĂ©s, en dĂ©taillant les vulnĂ©rabilitĂ©s exploitĂ©es, les vecteurs d’attaque observĂ©s ainsi que les contre-mesures mises en place pour sĂ©curiser l’Ă©cosystĂšme numĂ©rique d’un opĂ©rateur tĂ©lĂ©com de cette envergure. 🕒 Chronol...
Lire la suite

🔍 DIRB – Exploration de RĂ©pertoires Web

Image
DIRB est un outil open source d’ exploration de rĂ©pertoires utilisĂ© par les professionnels de la cybersĂ©curitĂ© pour dĂ©couvrir des rĂ©pertoires et des fichiers cachĂ©s sur des sites web ou des serveurs. Il est compatible avec la majoritĂ© des systĂšmes d’exploitation. 🔧 Fonctionnement de DIRB DIRB fonctionne en envoyant des requĂȘtes HTTP automatisĂ©es Ă  une cible (site web ou serveur), Ă  l’aide d’un dictionnaire prĂ©dĂ©fini (wordlist). Il tente ainsi d’accĂ©der Ă  des chemins ou fichiers non listĂ©s directement sur l’interface web, comme par exemple : /admin , /backup.zip , /login.php , etc. Bien que DIRB ne soit pas un outil d’exploitation , il peut rĂ©vĂ©ler des points d’entrĂ©e sensibles ou ressources exposĂ©es pouvant ĂȘtre utilisĂ©es lors d’un test d’intrusion. 🚀 Utilisation de DIRB AprĂšs installation (via dĂ©pĂŽt de paquets ou compilation manuelle), DIRB peut ĂȘtre lancĂ© avec la commande suivante : dirb http://[adresse IP ou nom de domaine] Cette commande dĂ©clenche un scan du site ciblĂ©...
Lire la suite