En bref : DC-Shadow une nouvelle attaque contre l’Active Directory Windows
Date : 07 Janvier 2018
Lors de la conférence BlueHat-Israel organisée par Microsoft fin janvier, Benjamin Delpy et Vincent Le Toux ont présenté la toute dernière évolution apportée à l’outil Mimikatz : DCShadow.
DCshadow est une attaque astucieuse, qui permet à un attaquant qui a déjà obtenu les droits admin sur un Active Directory, de créer un faux DC (Domain Controler) sur un poste de l’entreprise. Ce faux DC s’insère dans le mécanisme de réplication entre DC et peut y injecter ensuite des données arbitraires (pour par exemple recréer un compte admin). L’un des principaux intérêts de DCshadow est qu’il ne laisse pas de traces puisque l’attaque passe au travers des flux de réplication de l’Active Directory.
DCShadow oblige donc à revoir les mécanismes de surveillance de l'Active Directory, de façon à être capable de se rendre compte qu’un faux DC a été mis en place au sein de l’entreprise.
Pour plus d’information :
- Explication audio en 5 minutes de l’attaque DC-Shadow (à partir de la minute 33) :
https://www.comptoirsecu.fr/sechebdo/sechebdo-30-janvier-2018/
(et article approfondi : https://blog.alsid.eu/dcshadow-explained-4510f52fc19d ) - PodCast plus long par les auteurs de DC-Shadow (45 minutes) :
https://www.nolimitsecu.fr/dcshadow/ - Site officiel de DCShadow
https://www.dcshadow.com/