Lors d’un test d’intrusion ou d’un audit technique, il peut être nécessaire d’extraire la baseSAM (contenant les comptes et mots de passe) d’un contrôleur de domaine Active Directory.
Plusieurs problématiques sont alors à prendre en compte :
- Cette étape peut être en partie entravée par l’antivirus, qui saura détecter les outils habituels (pwdump, fgdump, etc…) ou les comportements douteux. La désactivation de l’antivirus est très déconseillée sur ce type d’équipements sensibles.
- L’architecture processeur peut également ralentir cette opération, et certains outils ne supportent pas les architectures 64 bits.
- Enfin, le dernier problème, et pas des moindres, la stabilité du système peut être impactée pendant cette étape; si la perte de disponibilité sur un poste de travail peut être acceptée, ce n’est absolument pas le cas sur un contrôleur de domaine.
Bien souvent, devant ces problématiques, le consultant abandonnera l’idée d’obtenir ces informations, a moins d’en obtenir l’autorisation explicite par les personnes concernées, acceptants les risques mentionnés ci-dessus.
Lors du SSTIC2010, à l’occasion des rumps, Aurélien Bordes a présenté une solution alternative basée sur les mécanismes de réplication Active Directory.
Cette solution, étudiée et réalisée par Intrinsec, nécessite toujours un compte administrateur de domaine et fonctionne de la manière suivante :
- Insertion d’un faux équipement dans le domaine, en le faisant passer pour un contrôleur de domaine de backup (BDC)
- Demande de réplication de la base SAM par ce faux BDC
- Suppression du faux BDC de l’infrastructure
C’est avec une incroyable facilité que ces étapes sont réalisées, à l’aide des outils de la suite SAMBA, et qui ne demandent pas plus de temps qu’un extract SAM habituel.
De cette manière, chaque étape est une étape légitime du protocole Active Directory, ne nécessitant pas d’outil tiers intrusif (et donc, ne déclenche pas les mécanismes de protection), et ne dépendant pas de l’architecture sous-jacente (puisque uniquement basée sur l’AD). Et pour ces raisons, la stabilité n’est pas impactée.
En conclusion, ce sont bien des mécanismes légitimes et officiels internes à Active Directory qui viennent au secours de l’audit d’un contrôleur de domaine à la place d’outils spécifiques souvent considérés comme « malicieux » et comportant des risques non négligeables pour la disponibilité.