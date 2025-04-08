L’époque où l’on pouvait acquérir sans effort des identifiants avec Mimikatz est, pour le meilleur ou pour le pire, en train de s’achever. Alors que Microsoft renforce ses défenses contre le vol d’identifiants et que les solutions de détection et de réponse des terminaux (EDR) continuent d’évoluer, les techniques traditionnelles de la Red Team telles que le mouvement latéral, l’exécution de la charge utile et l’accès direct au service de sous-système d’autorité de sécurité locale (LSASS) font l’objet d’une surveillance accrue. En conséquence, la communauté Red Team a été contrainte de se tourner vers d’autres méthodes pour collecter des identifiants sur les systèmes Windows.
Imaginez obtenir des résultats comparables sans avoir besoin d’une charge utile « avancée » ou d’accéder à LSASS, simplement en « vivant de la terre » et en exploitant des objets sous-utilisés du modèle d’objet composant (COM). Si cela vous intéresse, accrochez-vous, car ce blog regorge de trucs amusants que vous pourrez utiliser lors de votre prochain engagement.
Nous aborderons brièvement les principes fondamentaux de COM et de son équivalent distribué, Distributed Component Object Model (DCOM), nous nous pencherons sur le paramètre RunAs et sur les raisons pour lesquelles les coercitions d’authentification ont un impact, et nous présenterons un nouvel outil de collecte d’identifiants – RemoteMonologue.
Le modèle objet de composant (COM) est l’une des technologies les plus anciennes et les plus omniprésentes de Windows, fonctionnant discrètement dans les coulisses des applications et des services quotidiens. Malgré son ancienneté, COM reste une ressource précieuse pour les attaquants, offrant d’autres moyens de réaliser des mouvements latéraux, une élévation de privilèges et une persistance. Pourtant, sa complexité inhérente a laissé une grande partie de sa surface d’attaque inexplorée.
Pour ce blog, les concepts clés à comprendre sont :
D’un point de vue général, vous pouvez considérer les objets COM comme des unités autonomes avec deux composants principaux :
Les attaquants peuvent abuser de ces méthodes pour faciliter les mouvements latéraux et, comme nous l’illustrerons prochainement, imposer des authentifications NTLM à distance pour le craquage de mots de passe et les attaques par relais.
Avant de passer à des choses plus amusantes, nous devons nous intéresser plus en détail à un composant important du COM. Un identifiant d’application (AppID) dans COM sert de mécanisme clé pour gérer la sécurité, l’identité et le comportement d’exécution des applications COM, en particulier dans les situations impliquant DCOM ou des applications nécessitant des contextes de sécurité spécifiques. Lorsqu’une classe COM est enregistrée avec un AppID, elle hérite des paramètres de sécurité définis pour cet AppID.
Le paramètre de sécurité le plus intéressant est la clé RunAs, qui spécifie quel compte d’utilisateur sera utilisé pour exécuter un objet DCOM lors de l’instanciation. La clé RunAs se trouve dans le registre sous :
En examinant la documentation de Microsoft sur DCOM et la clé RunAs, une valeur particulière s’est démarquée : Interactive User. Cette valeur configure l’objet DCOM pour qu’il s’exécute dans le contexte de sécurité de l’utilisateur actuellement connecté à la session de console du système. D’un point de vue offensif, c’est intéressant car cela pourrait nous permettre de tirer parti des objets DCOM pour agir comme un autre utilisateur sans connaître les identifiants de l’utilisateur concerné.
Tous les objets DCOM avec un AppID n’ont pas de valeur RunAs définie sur Interactive User. En fait, environ la moitié des AppID n’ont aucune valeur RunAs définie. Cependant, et si la valeur RunAs pouvait être ajoutée ou modifiée pour répondre à nos besoins ?
Par défaut, un AppID dans le registre est sécurisé par une Liste de Contrôle d’Accès Discrétionnaire (DACL), accordant des privilèges de propriétaire à TrustedInstaller et limitant les administrateurs locaux à l’accès en lecture seule, comme montré à la Figure 1.
Cependant, les administrateurs locaux bénéficient du privilège SeTakeOwnershipPrivilege, qui leur permet de prendre possession des objets système, y compris les clés de registre. Ce privilège est important pour cette attaque car il nous permet de changer la propriété d’un AppID. Une fois la propriété modifiée, nous pouvons nous accorder des autorisations de contrôle total sur l’AppID et modifier ensuite ses paramètres pour ajouter ou modifier la valeur RunAs.
Une fois la valeur RunAs modifiée en Interactive User, l’attaque devient simple. Cela nous permet de forcer l’exécution d’un objet DCOM dans le contexte d’une autre session active. Cependant, le succès de cette attaque dépend en fin de compte des propriétés et des méthodes exposées par l’objet DCOM ciblé.
Maintenant que nous savons qu’il est possible de convertir un objet DCOM en un outil de détournement de session, les étapes suivantes consistent à identifier les méthodes et propriétés dont nous pouvons tirer parti pour finaliser le détournement. Dans le cadre de cette recherche, j’ai cherché à savoir si l’on pouvait compromettre l’utilisateur sans exécuter de charge utile, en adoptant une approche différente de celle de la plupart des techniques publiques de déplacement latéral DCOM.
Je souhaitais surtout obtenir des résultats comparables dans un format « sans fichier », ce qui signifie qu’il n’est pas nécessaire de transférer ou d’exécuter une charge utile sur le système cible. Cette distinction est importante, car transférer et exécuter des charges utiles sur un système cible est souvent considéré comme une action « coûteuse » dans les opérations de la Red Team. En évitant cette étape, le risque de déclencher des contrôles de sécurité communs est considérablement réduit. J’ai donc cherché à compromettre les comptes d’utilisateurs distants en imposant une authentification NTLM via DCOM.
La coercition d’authentifications NTLM présente plusieurs avantages principaux par rapport aux techniques traditionnelles de mouvement latéral :
À l’heure où nous écrivons ces lignes, la signature LDAP et le channel binding ne sont pas requis et appliqués par défaut sur la plupart des contrôleurs de domaine. Ces fonctionnalités de sécurité ne sont obligatoires que sur Windows Server 2025. Cela signifie que si nous pouvons obtenir une authentification NTLMv1 ou WebDAV depuis le système cible, nous pouvons la relayer à LDAP et effectuer des actions en tant qu’utilisateur concerné. De même, la signature SMB n’est pas requise par défaut sur les serveurs Windows, à l’exception des contrôleurs de domaine.
Un autre élément important à prendre en compte est que les hachages NTLMv1 peuvent être trivialement craqués à l’aide de tables arc-en-ciel, qui ont été partagées publiquement par Nic Losby en décembre 2024. Ces tables réduisent considérablement le temps et les efforts nécessaires pour récupérer les identifiants NTLM à partir des hachages NTLMv1. Pour obtenir un hachage NTLMv1 au lieu d’un hachage NTLMv2, nous modifions la clé de registre suivante sur le système cible :
Le fait de définir LmCompatibilityLevel à une valeur inférieure ou égale à 2 oblige le système à revenir à NTLMv1 pour l’authentification. Cette modification est possible avec les privilèges d’administrateur local et est communément appelée « attaque de rétrogradation NetNTLMv1 ».
Alternativement, nous pouvons capturer une authentification WebDAV et la relayer vers LDAP, car les authentifications basées sur HTTP peuvent être transmises à ce service. Si le service WebClient ne fonctionne pas déjà avec un accès privilégié, nous pouvons l’activer à distance sur le système cible. Une fois activé, nous pouvons forcer une authentification WebDAV NTLM vers notre écouteur en spécifiant le nom NetBIOS de la machine dans le chemin UNC. Par exemple :
Pour plus d’informations sur les attaques par relais NTLM et les protocoles qui peuvent être relayés à différents points de terminaison, consultez la ressource suivante ici.
Au cours de mes recherches, j’ai analysé l’objet DCOM ServerDataCollectorSet, qui possède le CLSID {03837546-098B-11D8-9414-505054503030}, afin d’identifier les méthodes et propriétés pouvant être exploitées pour la coercition d’authentification. Une propriété qui se démarque est DataManager, et heureusement, cet objet COM comprend une bibliothèque de types, qui définit ses méthodes et ses propriétés de manière plus détaillée.
En utilisant OleView.NET, j’ai examiné la bibliothèque de types de ServerDataCollectorSet et découvert que la propriété DataManager avait une méthode Extract qui attend deux paramètres :
La présence du paramètre CabFilename était particulièrement intéressante car elle suggérait la possibilité de fournir un chemin UNC, ce qui pourrait entraîner une action d’authentification réseau.
Pour tester cette théorie, j’ai fourni un chemin UNC pour le paramètre CabFilename pointant vers mon système (172.22.164.58) exécutant Responder, comme le montre la Figure 4. Résultat ? Succès ! Nous avons réussi à capturer un hachage NTLMv2, comme le montre la Figure 5.
Ensuite, j’ai testé s’il était possible de capturer les identifiants d’un utilisateur différent sur un système distant (172.22.166.170) en modifiant la clé RunAs du ServerDataCollectorSet. Pour ce faire, j’ai utilisé le service Remote Registry pour ajouter la valeur Interactive User pour l’AppID {03837503-098B-11D8-9414-505054503030}.
Une fois qu’un autre utilisateur s’est connecté au système cible (dans ce cas, GALAXY\yoda), j’ai accédé à l’objet DCOM ServerDataCollectorSet sous GALAXY\Administrator et j’ai exécuté la même méthode d’extraction illustrée en figure 6. Une fois de plus, j’ai réussi à capturer une authentification, mais cette fois-ci de GALAXY\yoda, comme le montre la figure 7. Ceci démontre que la modification de la clé RunAs en Interactive User nous permet de tirer parti des objets DCOM pour détourner les sessions d’autres utilisateurs.
Ce flux d’attaque est illustré dans le schéma ci-dessous.
Un autre objet DCOM intéressant susceptible de faire l’objet d’une coercition d’authentification est FileSystemImage, qui possède le CLSID {2C941FC5-975B-59BE-A960-9A2A262853A5}. Cet objet est particulièrement unique car la coercition est déclenchée simplement en modifiant une propriété plutôt qu’en invoquant une méthode – une technique moins courante dans les attaques basées sur DCOM.
La propriété en question est WorkingDirectory, qui, par défaut, pointe vers le dossier %TEMP% de l’utilisateur interactif. Cependant, en modifiant la valeur de WorkingDirectory en un chemin UNC pointant vers notre programme d’écoute, il est possible de capturer une authentification NTLMv2, comme le montrent les figures 9 et 10.
Pour valider ses capacités de détournement de session, je l’ai testé à distance en définissant la clé RunAs de l’AppID {2C941FD1-975B-59BE-A960-9A2A262853A5} sur Interactive User. Cette configuration a déclenché l’exécution de l’objet DCOM FileSystemImage dans le contexte de sécurité de l’utilisateur actif sur le système cible. Et, comme prévu, j’ai pu capturer le hachage NTLMv2 pour cet utilisateur.
Cette technique démontre que les coercitions d’authentification peuvent être obtenues en modifiant les propriétés ainsi que les méthodes, ce qui élargit la surface d’attaque potentielle des objets DCOM.
Un dernier objet DCOM intéressant à partager est UpdateSession, qui possède le CLSID {4CB43D7F-7EEE-4906-8698-60DA1C38F2FE}. Lors de la révision de sa bibliothèque de types, la méthode AddScanPackageService s’est démarquée car elle nécessitait un argument ServiceName et, plus intéressant encore, un argument scanFileLocation. La présence de scanFileLocation suggérait qu’il pouvait accepter un chemin UNC.
Lorsque nous avons testé cette théorie, nous avons réussi à capturer une authentification NTLMv2, mais au lieu de recevoir les identifiants du compte de l’utilisateur, nous avons reçu les identifiants du compte machine, comme illustré ci-dessous.
Cette constatation est particulièrement intéressante car, même après avoir ajouté une clé RunAs et l’avoir définie sur Interactive User, l’objet DCOM UpdateSession continuait d’exécuter des opérations réseau en tant que compte machine. Alors, pourquoi cela se produit-il ? La réponse est simple : alors que l’objet DCOM lui-même s’exécute dans le contexte de sécurité de l’utilisateur instanciateur ou interactif, les opérations réseau sont effectuées par un processus distinct, svchost.exe. Le chemin d’accès UNC est transmis à svchost.exe, qui utilise toujours par défaut le compte SYSTEM pour ces opérations. Par conséquent, le paramètre de la clé RunAs n’a pas d’incidence sur ce comportement.
Bien que la clé RunAs n’influence pas le compte utilisé pour les opérations réseau, la capture des identifiants de compte machine reste utile pour plusieurs scénarios d’attaque :
Cette attaque a été baptisée RemoteMonologue, car elle fonctionne de la même manière que InternalMonologue, à la différence près qu’elle est effectuée à distance. L’outil a été développé en Python à l’aide de la bibliothèque Impacket et automatise le processus d’attaque.
RemoteMonologue permet de cibler l’un des trois objets DCOM susmentionnés (-dcom) pour effectuer une coercition d’authentification contre un écouteur spécifié (-auth-to). De plus, il comporte une fonctionnalité de pulvérisation (-spray) pour valider les identifiants sur plusieurs systèmes, avec l’avantage supplémentaire de capturer les identifiants. L’outil prend également en charge une attaque de rétrogradation NetNTLMv1(-downgrade) et dispose d’une option permettant d’activer le service WebClient pour faciliter les authentifications HTTP(-webclient). Enfin, l’outil inclut un module d’interrogation (-query) permettant d’identifier les utilisateurs ayant une session active sur le système cible.
Vous trouverez ci-dessous un exemple d’exécution de RemoteMonologue avec l’attaque de rétrogradation NetNTLMv1 en utilisant Responder comme écouteur. Par défaut, si aucune option DCOM n’est spécifiée, l’outil utilise l’objet DCOM ServerDataCollectorSet.
Voici un autre exemple. Cette fois, l’attaque est exécutée en utilisant l’objet DCOM FileSystemImage, permettant au service WebClient d’obtenir une authentification HTTP, qui est ensuite relayée à LDAP via ntlmrelayx.
Pour se protéger contre les techniques décrites dans ce blog et les détecter, plusieurs mesures de prévention et de détection peuvent être mises en œuvre.
Mesures préventives :
Opportunités de détection :
L’attaque RemoteMonologue montre comment des objets DCOM sous-utilisés peuvent être instrumentalisés pour réaliser des attaques furtives de coercition d’authentification sans fichier. En modifiant des propriétés spécifiques et en utilisant des techniques comme la rétrogradation NetNTLMv1, les attaquants peuvent compromettre les comptes utilisateurs et élever leurs privilèges sans déployer de charges utiles ni accéder directement à des processus sensibles comme LSASS.
En se concentrant sur le renforcement des systèmes clés, tels que l’application de la signature LDAP, la signature SMB et la désactivation des protocoles obsolètes tels que NTLMv1, les défenseurs peuvent réduire considérablement la surface d’attaque. De plus, une surveillance rigoureuse des modifications du registre, de l’activité DCOM et des modifications de service à distance peut aider à détecter ces techniques à leurs premiers stades et en atténuer l’impact.
