Sécurité Active Directory : qu’est-ce que l’attaque DCSync ?

Mickael Dorigny - ITConnect - 01/10
Dans cet article, nous allons étudier l’attaque DCSync en environnement Active Directory. Quel est son impact sur le domaine ? Comment s'en protéger

Sommaire

  • I. Présentation
  • II. L’attaque DCSync
    • A. Domain Controller Synchronization
    • B. Les permissions DS-Replication-Get-Changes et DS-Replication-Get-Changes-All
  • III. Mon domaine est-il vulnérable à DCSync ?
    • A. Qui possède ces permissions sur mon domaine ?
    • B. Détecter DCSync via PingCastle
    • C. Détecter DCSync via BloodHound
    • D. Exploitation de DCSync via Impacket
  • IV. Se protéger de l’attaque DCSync
    • A. Contrôle des permissions dangereuses de l’Active Directory
    • B. Contrôler l’accès à DSRUAPI avec RPCFirewall
    • C. Surveillance active et détection
  • V. Conclusion

I. Présentation

Dans cet article, nous allons étudier l’attaque DCSync en environnement Active Directory. Nous verrons quel est le principe de cette attaque, quel est son impact sur un domaine Active Directory, ses conditions d’exploitation, mais aussi comment identifier si votre domaine est vulnérable et appliquer un correctif si c’est le cas.

Dans un second article qui fera office de suite, nous nous intéresserons également aux possibilités de détection de l’exploitation de cette attaque via les journaux d’évènements, mais aussi par l’analyse du trafic réseau.

L’attaque DCSync a été mise en lumière en 2015 par deux chercheurs en cybersécurité français (cocorico !), que sont Benjamin Delpy (créateur de Mimikatz) et Vincent Le Toux (créateur de PingCastle). Vous verrez lors de la description de cette attaque qu’on ne peut pas vraiment parler de “découverte” dans le sens d’une CVE, mais c’est l’ajout dans Mimikatz d’une fonctionnalité permettant l’exploitation de DCSync qui a démocratisé cette attaque.

DCSync est une attaque qui possède son propre TTP au sein du framework MITRE ATT&CK (T1003.006 - OS Credential Dumping: DCSync) et est encore aujourd’hui activement exploitée par des acteurs malveillants connus lors de cyberattaques d’envergure :

  • Durant la compromission de l’entreprise SolarWinds en 2020, le groupe APT29 affilié à la Russie a utilisé DCSync.
  • L’implémentation de DCSync dans Mimikatz a été utilisée en 2021 par le groupe Earth Lusca, affilié à la Chine.

II. L’attaque DCSync

A. Domain Controller Synchronization

DCSync signifie Domain Controller Synchronization. Ce n’est pas une vulnérabilité à proprement parler, mais plutôt une fonctionnalité de l'Active Directory qui permet aux contrôleurs de domaine de se synchroniser entre eux.

Lorsqu’un attaquant exploite DCSync au sein d’un domaine, il simule le comportement d’un contrôleur de domaine souhaitant effectuer une réplication auprès d'un autre contrôleur de domaine en utilisant le protocole MS-DRSR (Directory Replication Service Remote Protocol). Cela lui permet de récupérer l’intégralité des objets de l'Active Directory, incluant les hashs des mots de passe des objets utilisateur.

Par défaut, les membres des groupes "Admins du domaine", "Administrateurs", "Administrateurs d’entreprise" et "Contrôleur de domaine" ont les privilèges nécessaires pour légitimement effectuer une synchronisation avec le contrôleur de domaine.

En cela, l’attaque DCSync ne fait pas partie des opérations qu’un attaquant va utiliser en premier lors de son attaque pour compromettre un poste ou un compte utilisateur. Cette attaque apparaît généralement plus tard dans le chemin de compromission et constitue même l’une des dernières étapes. En effet, en récupérant le hash du mot de passe de tous les utilisateurs du domaine, l’attaquant récupère également ceux de tous les util...
[Courte citation de 8% de l'article original]