Un attaquant a réussi à compromettre un poste client et a récupéré l’empreinte cryptographique correspondant au mot de passe de l’utilisateur dans Active Directory. Il exploite maintenant une faiblesse de l’authentification NTLM pour effecteur des attaques par rejeu (replay attacks). Il peut ainsi s’authentifier à la place de l’utilisateur légitime sans avoir besoin de connaître son mot de passe. Comment appelle-t-on cette attaque ?
[A] Pass the ticket
[B] Pass the hash
[C] Golden ticket
[D] Zerologon
L’attaque « Pass the ticket » consiste en une réutilisation illégitime de tickets Kerberos. Pour la réaliser, un attaquant doit compromettre un système et extraire le Ticket Granting Ticket (TGT) de sa mémoire LSASS. Il peut maintenant utiliser ce TGT pour demander des tickets de service (TGS) afin d’accéder aux ressources autorisées pour l’utilisateur dont le système a été compromis.
L’attaque « Golden ticket » consiste à compromettre un compte administrateur de domaine puis d’extraire sur le contrôleur de domaine (DC) le hash du mot de passe du compte système KRBGT. Une fois l’opération réalisée l’attaquant peut alors générer n’importe quel ticket de service (TGS) pour accéder aux ressources.
Zerologon n’est pas une attaque mais une vulnérabilité logicielle (CVE-2020-1472) liée à un défaut cryptographique dans le protocole Active Directory Netlogon Remote Protocol (MS-NRPC). En exploitant cette vulnérabilité très critique (CVSS 10), un attaquant peut compromettre des contrôleurs de domaine AD.
Aucune de ces 3 propositions de réponse ne correspond à la réutilisation de l’empreinte cryptographique du mot de passe d’un utilisateur AD.
La bonne réponse est donc la proposition [B] Pass the hash
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE