Ajouter des identifiants de clé
Description
Le principal de sécurité source peut emprunter l'identité de la cible en exploitant les mappages de comptes de confiance clés, également appelés identifiants clés ou « identifiants fantômes ».
Cela est possible, car la source est autorisée à modifier l'attribut msDS-KeyCredentialLink de la cible.
C'est normalement Windows Hello for Business (WHfB) qui utilise cette fonctionnalité, mais elle peut être exploitée par les attaquants, même si elle n'est pas utilisée.
Exploitation
Les attaquants qui compromettent le principal de sécurité source doivent modifier l'attribut msDS-KeyCredentialLink de l'ordinateur cible à l'aide d'outils de piratage spécialisés tels que Whisker ou DSInternals.
Le but des attaquants est d'ajouter un nouveau certificat à l'attribut de cette cible, dont ils possèdent la clé privée. Ils peuvent ensuite s'authentifier en tant que cible avec la clé privée connue à l'aide du protocole Kerberos PKINIT pour obtenir un TGT. Ce protocole permet également aux attaquants de récupérer l'empreinte NTLM de la cible.
Remédiation
Plusieurs principaux de sécurité natifs avec privilèges disposent de cette autorisation par défaut, à savoir les opérateurs de compte, les administrateurs, les administrateurs de domaine, les administrateurs d'entreprise, les administrateurs de clés d'entreprise, les administrateurs de clés et SYSTEM. Ces principaux de sécurité légitimes ne nécessitent pas de remédiation.
Pour les principaux de sécurité source sans besoin légitime de modifier cet attribut, vous devez supprimer cette autorisation. Recherchez des autorisations telles que « Write all properties », « Write msDS-AllowedToActOnBehalfOfOtherIdentity », « Full control », etc.
Voir aussi