Lors de nos tests d’intrusion interne, il nous arrive régulièrement de compromettre l’Active Directory sans utiliser le moindre mot de passe. Cela est possible grâce à une attaque emblématique : le Pass-the-Hash (PtH).
Cette technique permet à un attaquant de s’authentifier sur un système Windows en réutilisant directement le hash du mot de passe d’un utilisateur, plutôt que le mot de passe lui-même.
Après avoir présenté les principes de fonctionnement d’Active Directory Certificate Services (AD CS) dans un premier article, il est temps d’aborder une dimension plus offensive : l’exploitation des failles liées à cette infrastructure.
En 2021, l’équipe de SpecterOps a publié une série de scénarios d’attaque regroupés sous le nom de techniques ESC (Enterprise Subordinate CA abuses).
Selon le standard RFC 2616, l’en-tête « Host » est obligatoire dans une requête HTTP. Il indique l’hôte et, le cas échéant, le port de la ressource demandée, comme dans une URL.
Concrètement, cet en-tête permet au serveur de rediriger correctement la requête vers le bon site, en particulier lorsque plusieurs noms de domaine partagent la même adresse IP. La valeur de l’en-tête Host correspond en général au nom de domaine présent dans l’URL.
Un simple retour à la ligne paraît anodin lorsqu’on pense à une application web. Pourtant, mal géré, il peut ouvrir la porte à des attaques sérieuses.
C’est précisément le cas des injections CRLF, une vulnérabilité souvent sous-estimée qui consiste à insérer des caractères de contrôle de fin de ligne dans des requêtes ou des réponses.
Les vulnérabilités liées à la désérialisation sont souvent difficiles à exploiter. Dans la plupart des cas, il faut accéder au code source pour identifier les classes disponibles ou les bibliothèques utilisées. Cela permet de choisir une « gadget chain » adaptée ou d’en construire une nouvelle.
Cependant, l’accès au code source n’est pas toujours possible. Il demande généralement des privilèges élevés, ou l’exploitation préalable d’une autre faille.
Dans le cadre de nos missions d’audit interne, nous rencontrons régulièrement des infrastructures AD CS (Active Directory Certificate Services) déployées sur les réseaux d’entreprise.
Ce composant retient systématiquement notre attention, car une configuration inadéquate peut rapidement ouvrir la voie à une compromission totale du domaine Active Directory.
Pour améliorer la rapidité d’affichage des pages web et alléger la charge des serveurs, de nombreuses entreprises s’appuient sur des mécanismes de mise en cache.
Ce système permet de stocker temporairement des ressources fréquemment sollicitées (comme des images, des scripts ou des pages HTML), afin de les servir plus rapidement lors de prochaines requêtes.
