Audit interne DSecBypass Lyon

Histoires de pentest

Cette série d’articles vous fait suivre Jean, un pentester imaginaire, dans ses missions de tests d’intrusions. Les clients et les histoires d’exploitations sont tout autant imaginaires, mais correspondent à la réalité et sont basées sur les expériences des experts DSecBypass.

Elle a vocation à vulgariser et rendre plus imagées les différentes offres de pentest.

 

L’audit interne

Jean apprécie beaucoup les pentests internes : 95% des cas il finit par contrôler l’ensemble du Système d’Information, les fameux droits « admin de domaine ». Parfois il lui faut moins d’une heure, parfois il doit « try hard » et cherche pendant de nombreuses heures la vulnérabilité qui lui permettra d’élever ses privilèges. Dans tous les cas c’est l’occasion pour lui de comprendre en profondeur le Système d’Information du client et de tester les dernières vulnérabilités et techniques publiées.

🚗 Aujourd’hui, il se déplace chez un client en région Lyonnaise pour un audit interne de deux jours. C’est un scénario classique « visiteur malveillant » : le client lui a préparé une salle de réunion dans laquelle il pourra brancher son propre PC et agir comme un visiteur un peu trop curieux.

Une rapide réunion en début de première journée avec le client permet de rappeler le scénario, échanger avec les équipes sur les actions menées, rassurer sur la disponibilité du pentester pendant toute la mission, puis lever les derniers points d’organisation.

Après un premier café partagé avec le client, Jean se branche au réseau à l’aide de son câble RJ45. La prise est bien brassée et il valide avec le client que le réseau auquel il accède est bien le réseau voulu : ça lui est déjà arrivé d’auditer le réseau VOIP pendant une heure alors que la cible était le réseau utilisateurs. Tout est bon, il peut commencer l’audit. 🤝

Il prend des captures d’écran des configurations réseaux prises par son PC et ses VM et entreprend de découvrir le réseau interne : des serveurs sont-ils accessibles ? où sont les contrôleurs de domaines ? peut-il attaquer les utilisateurs et leurs PC ? quelles informations peuvent être capturées sur le réseau ? Le réseau du client est grand : réparti sans logique apparente dans 10.0.0.0/16. Heureusement, découvrir un des réseaux de serveurs a été assez facile car il se situe avec le contrôleur de domaine dans 10.20.10.0/24. Il entame alors l’énumération des services ouverts afin d’exploiter d’éventuels défauts de configuration ou des vulnérabilités publiées.

En parallèle de sa découverte réseau, l’auditeur empoisonne le réseau des utilisateurs à l’aide de différentes techniques dans l’espoir de récupérer un compte Windows.

A la fin de la matinée Jean est parvenu à découvrir des fuites d’informations financières et RH dans des partages de fichiers ouverts à tous, prendre le contrôle de certains serveurs, mais il n’a toujours pas pu élever ses privilèges sur le domaine Windows. Ces privilèges sont requis pour accéder à un maximum de fonctionnalités et de données sur l’entreprise du client. Avant de partir manger, il laisse tourner un script d’attaque qui n’engendre pas d’effets de bord car un vieux sage lui a un jour appris que les utilisateurs ont tendance à se laisser aller entre midi et deux.

Il fait donc un rapide retour au client et se rend dans un restaurant attenant en espérant que son script travaille pour lui. Il n’est pas trop inquiet car il a plusieurs pistes d’attaques avec les découvertes de ce matin : trouver des scripts d’administration dans les partages de fichier, accéder au keepass trouvé sur un des serveurs compromis, finir d’énumérer les différents réseaux du client, et encore d’autres chemins si besoin.

🎯 En revenant, il déverrouille son PC et a l’agréable surprise de voir sur son terminal que le compte de adm_fdupond a été piégé : l’auditeur est alors en possession d’un compte de domaine (Windows), visiblement privilégié au vu du trigramme « adm« . Il s’empresse de vérifier s’il est admin de domaine. Toujours pas … Jean vérifie alors les serveurs sur lesquels ce compte dispose des droits d’administration.

Au milieu de tous les « Pwn3d! » qui défilent sur son terminal, signifiant qu’il contrôle de nombreux serveurs, un des noms lui attire l’œil : SRV-ADMTOOLS. Étant donnée le nom, il s’agit probablement d’un serveur d’administration sur lesquels il sait pouvoir trouver des scripts, des mots de passe en clair dans les navigateurs, peut être des sessions d’administrateurs en cache et autres possibilités pour élever ses privilèges.

Il s’y connecte avec le compte compromis, contourne la solution antivirus en fonctionnement en ajoutant un répertoire spécifique en exception et extrait les informations de connexion de la mémoire Windows avec ses outils favoris.

🏆 Le serveur n’étant pas durcit, immédiatement le compte CLIENT.local\Administrateur apparaît à son écran. S’en emparant, il test la connexion aux contrôleurs de domaines. C’est fait, Jean est « admin de domaine » du domaine Windows CLIENT.local.

Il prévient le client et continue d’explorer les différentes pistes d’exploitation afin d’être le plus exhaustif possible. Il analyse également le niveau de sécurité de l’Active Directory de manière à fournir les préconisations correspondantes et travailler sur la sécurité en profondeur.

Jean a pris soin de noter toutes les actions qui ont pu modifier l’état du Système d’Information et a pris des captures d’écran de chacune des étapes afin d’offrir le rapport le plus complet et détaillé possible. Une fois la fin de la mission arrivée, il supprime ses tests et rétabli le Système d’Information afin qu’il soit dans le même état qu’à son arrivée.

Il fait une dernière réunion sur site avec le client afin de synthétiser les résultats de la mission et lui donner une première vision des remédiations à effectuer.

📚 Le lendemain il termine son rapport d’audit et l’envoie à un de ses collègues pour relecture et validation.

Il transmet ensuite le rapport au client de manière sécurisée et échange avec les équipes et la direction sur les résultats du pentest interne et le plan d’action grâce à la restitution en visioconférence.

🛡️ DSecBypass vous accompagne sur vos tests d’intrusions internes, avec des prestations de qualité et une expérience significative sur ce type de prestation. N’hésitez pas à nous contacter pour des informations complémentaires et/ou un devis personnalisé 📝.