Zerologon
Dans la pratique, la faille Zerologon (CVE-2020-1472) permet à un attaquant de prendre le contrôle d'un contrôleur de domaine, principalement de deux manières :
Remplacer le hash du DC par un hash null¶
Utilisation de https://github.com/dirkjanm/CVE-2020-1472/blob/master/cve-2020-1472-exploit.py : Cet exploit va remplacer le hash du DC par un hash null, le problème de cette méthode est donc que l'AD va vite devenir inutilisable :
Depuis Linux¶
Vérifier si le DC est vulnérable¶
Exploitation de la faille¶
Depuis Windows¶
L'exploit peut se faire avec mimikatz¶
Puis on effectue le DCSync¶
lsadump::dcsync /domain:domain.local /dc:dc.domain.local /user:Administrator /authuser:DC$ /authdomain:domain /authpassword:"" /authntlm
Relais NTLM¶
La seconde méthode, plus élégante, permet d'utiliser un relais NTLM. Cette méthode est plus simple et n'a pas la contrainte de remplacer le mot de passe du DC, n'entrainant donc pas d'instabilité de l'AD.
Plusieurs prérequis sont néanmoins nécessaires: - Le service PrintSpooler doit tourner sur le DC - Un compte utilisateur - Un second DC
Mise en place du relais NTLM :