Active Directory : la description des utilisateurs, un attribut à risque

Florian BURNEL - ITConnect - 04/04
Dans l'Active Directory, il n'est pas rare que des mots de passe soient stockés dans l'attribut "description" des utilisateurs. C'est une pratique risquée.

Sommaire

  • I. Présentation
  • II. Mot de passe dans l'attribut description : quels risques ?
  • III. Point de vue de l'attaquant
    • A. Depuis Linux
    • B. Depuis un poste Windows
  • IV. Point de vue du défenseur
    • A. Identifier les mots de passe dans les descriptions
    • B. Correctif et bonnes pratiques de sécurité
    • C. Possibilité de détection de l'attaque
  • V. Conclusion

I. Présentation

Dans cet article, nous allons nous intéresser à une mauvaise pratique encore très présente au sein des équipes d'administration et des annuaires Active Directory : le stockage de mots de passe dans l'attribut "description" des objets utilisateurs.

Nous allons voir en quoi cette pratique est dangereuse pour le domaine et pourquoi son existence et ses impacts sont souvent méconnus. Également, nous nous intéresserons de façon très pratique à la manière dont attaquants et défenseurs peuvent détecter et exploiter cette faille au sein d'un Active Directory.

Enfin, nous verrons quelles sont les bonnes pratiques et les difficultés de détection, aussi bien lors de l'introduction de la vulnérabilité dans l'Active Directory que lors de son exploitation par un attaquant.

  • Sécurité de l'Active Directory - Découverte de l'attaque ASREPRoast

II. Mot de passe dans l'attribut description : quels risques ?

Lorsque l'on administre un système d'information et un domaine, nous avons accès à des outils, interfaces et serveurs auquel personne d'autres n'a accès dans l'entreprise. Ainsi, il est aisé de croire que nous seul avons accès aux différentes informations que nous manipulons : ce n'est pas tout à fait vrai.

Au sein de l'Active Directory, tous les objets ont de nombreux attributs, techniques et métier. Le "dn", "sAMAccountName", les attributs relatifs aux groupes, aux mots de passe, etc. L'attribut "description" en fait partie, il s'agit d'un simple champ texte permettant d'indiquer des informations sur l'objet créé :

Exemple de description d'un objet utilisateur dans l'Active Directory.

Plutôt pratique lorsque l'on souhaite, par exemple, se rappeler pour quel service ce compte a été créé, quel est le nom complet du propriétaire lorsque l'on crée des objets non nominatifs ("XR-23-OP"), etc.

Lorsque l'on combine ces deux constats, les administrateurs peuvent penser que la description peut aussi permettre de stocker les mots de passe des comptes dont ils ne se serviront pas tous les jours ou que plusieurs membres de l'équipe sont susceptibles de manipuler (comptes "communs" ou de services par exemple). Dès lors, quoi de plus pratique que d'établir une convention implicite : "si tu cherches le mot de passe de ce compte, il est dans sa description AD" ?

Cependant, il est souvent oublié que la quasi-totalité des attributs de tous les objets sont lisibles par tous les comptes authentifiés de l'Active Directory (utilisateurs, ordinateurs, etc.). C'est ainsi que fonctionne l'Active Director...
[Courte citation de 8% de l'article original]