none
Demande d'info sur faille KRGTBT RRS feed

Toutes les réponses

  • Bonjour Yannix63

    [... Un script est disponible sur Github, mais franchement je suis pas trop en confiance de passer un script Github sur mon AD...]

    Il faut être effectivement prudent sur tout ce qu'on récupère sur le Net, que cela soit des scripts ou des exécutables. Cependant, les scripts ont un avantage indéniable : on peut (et on doit) lire leur code et le comprendre autant que possible.

    • Il utilise des modules PS classique : ActiveDirectory et GroupPolicy. R.A.S.
    • Je n'ai pas vu de WebRequest dans le script : bon point, il ne communique pas avec l'extérieur
    • Je n'ai pas vu de code "offusqué" : Bon point, code offusqué, on ne sait pas ce qu'il y a derrière, c'est No-way !
    • J'ai passé le script au PSScriptAnalyzer (Invoke-ScriptAnalyzer) : Des warnings, oui mais pas d'erreur.
    • OK, le script est long, mais rien de spécial. Il ne fait qu'un reset du mot de passe de compte KRBTGT.

    Bref rien de spécial, même si le code pourrait être surement améliorer (par exemple utilisation de cmdlet legacy WMI au leu de l'équivalent CIM, Utilisation en mode interactif uniquement ce qui limite son usage à un mode interactif et pas à un mode planifié sans interaction utilisateur, ...). Pas réellement difficile à modifier afin de pouvoir en faire un script qu'on puisse exécuter en tâche planifiée.

    Aucune raison de ne pas vouloir exécuter ce script.

    [...Aussi et n'étant pas expert, est que les spécialistes peuvent nous éclairer sur cette faille et savoir si elle a été corrigé par Microsoft ou s'il faut passer le script....]

    La technique Pass-The-Hash n'est pas tant liée à l'AD qu'au fonctionnement de Kerberos. Le document cité en référence donne des éléments d'architecture afin de réduire ce risque (mitigating c'est réduire). Le script est également un des ces moyens afin de réduire le risque (on change régulièrement le mot de passe du compte KBRTGT afin d'éviter que ce si ce compte est compromis, il puisse être encore utilisé).

    Comment fonctionne PTH :

    L'attaquant récupère les Hash des passwords des comptes qui ont été utilisés sur la machine compromise (classiquement avec MimiKatz. 2 min de recherche sur le Net et on le trouve. Outil fait par un français d'ailleurs mais utilisé par les hackers de tout poil). Ensuite, il va utiliser contre une tierce machine un des hash récupéré pour se faire passer pour un utilisateur légitime  (on appelle cela une élévation de privilèges) sur cette tierce machine (on appelle cela un déplacement latéral). Là, sur cette tierce machine, il va de nouveau récupérer les Hashs ... tiens un compte avec des forts privilèges, intéressant. Youpi, il va maintenant utiliser ce compte pour refaire son même manège jusqu'au moment ou il devient Administrateur du domaine et le roi du pétrole.

    Le document (.pdf) décrit donc cette méthode et comment limiter les risques : on évite que des comptes à privilèges élevés soient présent sur les postes exposés et on compartimente (les fameux Tiers0, tiers1, tiers2, ..).

    Malheureusement, il y a ce fameux compte KRBTGT qui traine un peu partout et bien on va limiter les risques en changeant le mot de passe de ce dernier régulièrement (ce que ne permet pas de faire le script dans sa forme actuelle).

    Voilà, encore un pavé, mais j'espère avoir donné des informations qui seront utiles.

    Cordialement

    Olivier

    mardi 2 mars 2021 10:30
  • A voir

    http://pbarth.fr/node/203 (ancienne version)

    Il est possible de réinitialiser le mot de passe du compte krbtgt, qui est un mot de passe très lié à la sécurité. 

    Néanmoins il est important de ne pas le faire n'importe comment et de s'assurer du bon fonctionnement de la réplication AD. 

    mercredi 3 mars 2021 06:20