A la suite d’une compromission initiale sur un environnement Windows, un attaquant parvient à extraire le hash du compte de service Kerberos KRBTGT d’un domaine Active Directory. Ce compte étant utilisé par le Key Distribution Center (KDC) pour signer les Ticket Granting Tickets (TGT), l’attaquant dispose désormais d’un élément critique du mécanisme d’authentification du domaine.
En cas de compromission du compte KRBTGT, quelle attaque peut-on mener ?
[A] Pass-the-Hash
[B] Golden Ticket
[C] Silver Ticket
[D] Kerberoasting
[A] Pass-the-Hash : Une attaque Pass-the-Hash consiste à réutiliser un hash NTLM pour usurper l’identité d’un compte à privilèges sans connaître son mot de passe. Elle n’implique pas Kerberos et n’utilise pas le compte KRBTGT.
[C] Silver Ticket : Une attaque par Silver Ticket permet de forger un ticket de service (TGS) à l’aide du hash d’un compte de service spécifique (ex. SQL, IIS). L’attaque ne nécessite pas le hash KRBTGT.
[D] Kerberoasting : Une attaque Kerberoasting consiste à demander des tickets de service Kerberos et de les casser hors ligne pour récupérer les mots de passe des comptes de service. Elle n’implique pas le compte KRBTGT.
[B] Golden Ticket : Le compte KRBTGT est un compte de service critique dans un domaine Active Directory. Il est utilisé par le Key Distribution Center (KDC) pour signer cryptographiquement les Ticket Granting Tickets (TGT) dans le protocole Kerberos. La compromission du hash KRBTGT permet à un attaquant de forger de faux TGT, appelés Golden Tickets, qui seront considérés comme légitimes par tous les contrôleurs de domaine.
Pourquoi parle-t-on de Golden Ticket ? Eh bien tout simplement parce qu’un Golden Ticket permet à l’attaquant de :
- Créer un TGT arbitraire pour n’importe quel utilisateur
- S’attribuer n’importe quel groupe (ex. Domain Admin, Enterprise Admin)
- Définir une durée de validité très longue
- Obtenir un accès total et persistant à l’ensemble du domaine Active Directory
- Contourner complètement le processus d’authentification normal
On parle ici d’une compromission totale du domaine (domain compromise), ce qui en fait l’une des attaques les plus critiques sur Active Directory.
✅ La bonne réponse est la proposition [B]
Pour en savoir plus sur la sécurité Active Directory nous vous recommandons de suivre les modules n°13 et 14 de notre formation CISSP en distanciel.
💼 Plus de 30 ans d’expertise en cybersécurité condensés dans une méthode unique : pédagogie active, rigueur académique et application concrète des 8 domaines du CBK.
🎓 Votre réussite commence ici : https://www.verisafe.fr/formation-cissp
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
