DCShadow est une technique facilement disponible qui permet à un attaquant d'établir un accès privilégié persistant dans Microsoft Active Directory (AD).
Plus précisément, DCShadow permet à un attaquant disposant d'un accès privilégié de créer et de modifier des objets arbitraires dans AD à l'insu de tous. Cela permet à l'attaquant de créer des portes dérobées dans AD qui ne peuvent pas être détectées, même si l'accès privilégié d'origine l'est.
DCShadow a fait couler beaucoup d'encre, mais la plupart des organisations n'arrivent toujours pas à s'en défendre.
Bien qu'il s'agisse d'une préoccupation majeure, cela ne devrait pas être une surprise totale étant donné que DCShadow est spécifiquement conçu pour contourner les mesures de sécurité existantes. Alors, que pouvez-vous faire ?
Qu'est-ce que DCShadow ?
DCShadow est une fonctionnalité de l'utilitaire open-source Mimikatz (disponible en téléchargement ici). Mimikatz est le principal outil de post-exploitation pour les attaques basées sur les identifiants Windows et a été utilisé dans de nombreuses cyberattaques parmi les plus destructrices d'aujourd'hui, notamment LockerGoga, NotPetya, WannaCry, SamSam, et sans aucun doute d'autres à venir.
Fonctionnement de DCShadow
DCShadow contourne les mesures de sécurité existantes de différentes manières :
1. Exploite le mécanisme de réplication normal de la maladie d'Alzheimer
DCShadow n'est pas lié à une vulnérabilité de Windows, il n'y a donc pas de correctif de sécurité que vous pouvez appliquer pour éliminer votre exposition. Il n'est pas non plus lié à la configuration AD, et il n'y a donc pas de paramètre que vous puissiez modifier pour combler une faille.
2. Évite la détection en contournant l'enregistrement des événements de sécurité de Windows.
DCShadow permet à n'importe quel serveur Windows d'usurper l'identité d'un contrôleur de domaine (DC) et d'injecter des modifications directement dans le flux de réplication AD. Ces modifications ne sont pas enregistrées dans les journaux d'événements de sécurité, et il n'existe aucun paramètre d'audit que vous puissiez régler pour changer cela. Par conséquent, les systèmes SIEM et la plupart des outils de suivi des modifications AD ne voient pas - et ne peuvent pas vous alerter - les modifications effectuées par l'attaquant pour conserver un accès privilégié (comme la création d'un nouvel utilisateur et son appartenance au groupe Domain Admins).
3. Permet à un attaquant d'injecter n'importe quelle modification dans AD
Par exemple, un pirate peut ajouter le SID d'un administrateur d'entreprise ou de domaine à l'historique SID d'un compte d'utilisateur normal et obtenir un accès privilégié via ce compte. Ainsi, même si vous limitez les modifications aux groupes des administrateurs d'entreprise et des administrateurs de domaine, un pirate peut toujours obtenir des droits d'administrateur d'entreprise ou de domaine. De plus, si vous surveillez les modifications apportées aux groupes de sécurité sensibles, vous ne pourrez pas attraper un pirate disposant d'un accès privilégié via l'historique SID.
DCShadow est également incroyablement efficace : un attaquant n'a besoin d'utiliser qu'une seule fois son accès privilégié d'origine et peut créer n'importe quel nombre de portes dérobées intraçables en seulement une ou deux secondes.
Dans une console Mimikatz, l'attaquant met en file d'attente toutes les portes dérobées qu'il souhaite créer dans AD (nouveaux comptes d'utilisateurs, appartenances à des groupes, SID History), etc :
Dans cet exemple, l'attaquant n'a mis en file d'attente qu'une seule modification (l'ajout de l'IDS d'un administrateur de domaine à l'historique de l'IDS d'un utilisateur normal), mais il pourrait facilement mettre en file d'attente 15, 20 ou plus de modifications.
Dans une seconde console Mimikatz, l'attaquant "pousse" les modifications dans le flux de réplication AD :
L'injection des changements se fait en une ou deux secondes, y compris le temps nécessaire à l'enregistrement et au désenregistrement de la fausse DC.
Ce que vous pouvez faire à propos de DCShadow
Dans la deuxième partie de ce billet, je parlerai des mesures que vous pouvez prendre pour vous défendre contre DCShadow.
Comme vous pouvez le deviner, l'un des moyens consiste à surveiller les changements dans le flux de réplication AD. Si vous souhaitez avoir un aperçu de cette approche - ou une démonstration d'une attaque DCShadow - vous pouvez visionner une courte vidéo (8 minutes) que j'ai enregistrée récemment. La vidéo est disponible ici.