Kerbrute - A tool to quickly bruteforce and enumerate valid Active Directory accounts through Kerberos Pre-Authentication

John the Ripper - A fast password cracker

hashcat - advanced password recovery tool

<p>Vérifie l'absence de faiblesses dans les mots de passe susceptibles d'accroître la vulnérabilité des comptes Active Directory.</p>


<p>Les mots de passe des comptes Active Directory peuvent présenter plusieurs biais diminuant la sécurité de l'Active Directory</p>


Accès aux identifiants

Élévation de privilèges

Accès initial

Brute Force

Comptes valides

Faiblesses détectées lors de l'analyse des mots de passe des comptes Active Directory

Le même mot de passe est partagé par plusieurs utilisateurs au sein du domaine, cela pose un risque accru pour la sécurité. Un attaquant compromettant l'un de ces comptes pourrait accéder à plusieurs autres comptes en effectuant une attaque par pulvérisation de mot de passe (password spraying).


Réutilisation de mots de passe au sein du domaine

Au moins un compte privilégié partage son mot de passe avec d'autres comptes. Il s'agit d'un vecteur permettant une élévation de privilèges directe qui pourrait être exploité par un attaquant ayant compromis au préalable un des comptes de privilèges moindres.
Cela pourrait également indiquer une mauvaise configuration des comptes de sensibilité différente qui utilisent le même mot de passe, ou l'utilisation d'un mot de passe faible.


Réutilisation de mots de passe au sein du domaine par un compte privilégié

Un compte a changé de mot de passe avec une valeur qui est apparue dans des bases de données de mots de passe compromis disponibles publiquement. Cela ne signifie pas que le compte a été compromis, mais cela pourrait faciliter une attaque par pulvérisation de mot de passe (password spraying) ou par bruteforce hors ligne, afin de deviner le mot de passe du compte. Les mots de passe ainsi exposés ne doivent pas être utilisés, car ils représentent un risque de compromission accrue.


Utilisation d'un mot de passe compromis

Certains comptes possèdent une empreinte LM (Lan Manager). L'empreinte LM est relativement faible comparée à l'empreinte NT, et est sujette à des attaques par force brute. Il convient d'éviter de stocker les empreintes LM des mots de passe et de n'autoriser que le stockage des empreintes NT.


Comptes utilisateur avec une empreinte LM

Certains comptes utilisateur ont un mot de passe vide (empreinte NT). Sous certaines conditions, ces comptes peuvent avoir un mot de passe vide, ce qui introduit un risque de sécurité, car un attaquant peut s'authentifier sans fournir de mot de passe.
Un compte peut avoir un mot de passe vide dans les conditions suivantes :
  * La stratégie de mot de passe du domaine définit la valeur de l'attribut minPasswordLength sur 0 et la valeur de l'attribut complexityEnabled sur Faux.
  * L'attribut userAccountControl définit le flag PASSWD_NOTREQD sur Vrai.


Comptes utilisateur avec un mot de passe vide (empreinte NT)

Certains contrôleurs de domaine ont un mot de passe vide, ce qui peut être la conséquence d'une exploitation Zerologon.
En effet, parmi les scénarios d'exploitation possibles, l'un d'eux consiste à mettre à jour le mot de passe du contrôleur de domaine, permettant à l'attaquant de compromettre entièrement le domaine.


Contrôleurs de domaine avec un mot de passe vide

Certains comptes ont un mot de passe faible. Soit ce mot de passe a été trouvé dans la liste de mots de passe configurée, soit le mot de passe de ce compte est identique aux valeurs des attributs sAMAccountName ou displayName. Par conséquent, ces mots de passe peuvent être rapidement devinés grâce à une attaque par force brute.


Détections

Faiblesses détectées lors de l'analyse des mots de passe des comptes Active Directory

high

Description

Solution

Voir aussi

Détails de l'indicateur

Outils connus des attaquants