Active Directory

Selon Deception.Pro, des chercheurs ont observé durant une opération de 12 jours une chaîne d’intrusion à haute sévérité initiée par du malvertising et un faux CAPTCHA de type ClickFix. • Le leurre incitait la victime à coller une commande obfusquée dans la boîte de dialogue Windows Run, déclenchant une exécution emboîtée de cmd.exe. L’attaque testait la connectivité sortante via finger.exe (TCP/79), puis récupérait depuis l’infrastructure attaquante un fichier se faisant passer pour un “PDF”, qui s’est avéré être une archive compressée extraite localement avec les outils Windows. ...

Selon un billet technique publié le 2 mars 2026, Microsoft a modifié msv1_0.dll dans Windows Server 2025 pour empêcher la génération d’NTLMv1 côté client, rendant caduque l’attaque de coercition cross-DC suivie d’un relais vers LDAPS basée sur NTLMv1 avec ESS et suppression du MIC. Rappel de l’attaque classique: un DC victime (DC2) avec LmCompatibilityLevel mal configuré (< 3) est contraint d’authentifier vers l’attaquant (ex. via DFSCoerce), qui reçoit un NTLMv1 + ESS. L’attaquant retire le MIC (–remove-mic) et relaie vers LDAPS sur un autre DC (DC1) via ntlmrelayx, permettant la modification d’attributs sensibles comme msDS-KeyCredentialLink (Shadow Credentials) ou l’ajout d’RBCD, menant à une élévation de privilèges. ...

Source et contexte — AWS Security Blog (CJ Moses, Amazon Threat Intelligence) publie une analyse d’une campagne observée du 11 janvier au 18 février 2026 : un acteur russophone à motivation financière a compromis plus de 600 appareils FortiGate dans plus de 55 pays. Aucune vulnérabilité FortiGate n’a été exploitée ; les intrusions reposent sur des interfaces de gestion exposées, des identifiants faibles et l’absence de MFA, avec une forte dépendance à des services d’IA générative commerciaux. L’acteur a compromis des environnements Active Directory, exfiltré des bases d’identifiants et ciblé les infrastructures de sauvegarde (pré-ransomware). L’infrastructure AWS n’a pas été impliquée. ...

Mandiant publie un dataset complet de tables arc‑en‑ciel dédié à Net‑NTLMv1, avec l’objectif déclaré de faciliter la démonstration de l’insécurité du protocole et d’en accélérer la dépréciation. L’initiative s’appuie sur l’expertise de terrain de Mandiant et les ressources de Google Cloud, et met en avant la possibilité de récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Contexte: Net‑NTLMv1 est connu comme insecure depuis au moins 2012 (présentations à DEFCON 20), avec une cryptanalyse remontant à 1999. La prise en charge par Hashcat (2016) du craquage de clés DES via known plaintext a démocratisé l’attaque. Les tables arc‑en‑ciel existent depuis 2003 (Oechslin), héritant des travaux de Hellman (1980). Quand un attaquant obtient un hash Net‑NTLMv1 sans ESS (Extended Session Security) avec le texte clair connu 1122334455667788, une known plaintext attack (KPA) permet de récupérer de façon garantie le matériau de clé, c’est‑à‑dire le hash de mot de passe de l’objet Active Directory (AD) (utilisateur ou compte machine), facilitant une escalade de privilèges. ...

Source: Mandiant (Threat Intelligence, 15 janvier 2026). Contexte: l’éditeur publie un vaste jeu de tables arc‑en‑ciel pour Net‑NTLMv1, visant à illustrer le risque immédiat de ce protocole obsolète et à favoriser sa dépréciation effective. Mandiant annonce la mise à disposition publique d’un dataset complet de tables arc‑en‑ciel Net‑NTLMv1, soulignant que ce protocole est insecure depuis plus de deux décennies. L’objectif est de faciliter pour les défenseurs la démonstration concrète de la faiblesse de Net‑NTLMv1 (sans ESS) via une attaque par texte clair connu sur le texte « 1122334455667788 », garantissant la récupération du matériel de clé (lié au hash de mot de passe AD) et potentiellement une escalade de privilèges. ...

Contexte: Ars Technica détaille la décision de Microsoft de mettre fin au support par défaut du chiffrement obsolète RC4 dans Kerberos/Active Directory, un choix historiquement associé à des attaques comme le Kerberoasting et critiqué par le sénateur américain Ron Wyden. L’article rappelle le rôle de RC4 dans la compromission d’Ascension (disruptions hospitalières et données de 5,6 M de patients). Changement annoncé: D’ici mi‑2026, Microsoft mettra à jour les contrôleurs de domaine (KDC) sur Windows Server 2008 et ultérieurs pour n’autoriser par défaut que AES‑SHA1. RC4 sera désactivé par défaut et n’opérera que si un administrateur le configure explicitement. Bien que AES‑SHA1 soit disponible depuis 2008 et utilisé côté clients, les serveurs Windows répondaient encore, par défaut, aux requêtes d’authentification RC4, ouvrant la voie aux attaques de Kerberoasting. ...

Selon CrowdStrike, cette analyse décrit CVE-2025-54918, une vulnérabilité critique permettant la compromission de contrôleurs de domaine Active Directory via coercition d’authentification et NTLM relay. ⚙️ Mécanisme: l’attaque abuse du protocole MS-RPRN (technique « PrinterBug ») pour forcer l’authentification du contrôleur de domaine, intercepte les paquets NTLM, retire les drapeaux de sécurité SEAL et SIGN tout en préservant LOCAL_CALL, puis relaie l’authentification modifiée vers LDAP/LDAPS afin d’obtenir des privilèges SYSTEM. Elle ne requiert qu’un compte de domaine faiblement privilégié et contourne des contrôles comme le channel binding et la signature LDAP. ...

Selon le blog zsec.uk, cet article décrit le développement de pyLDAPGui, un outil GUI multiplateforme destiné à combler les limites de l’Active Directory Explorer (réservé à Windows) et à s’intégrer aux workflows d’analyse de sécurité. • Présentation générale pyLDAPGui est un navigateur LDAP avec interface graphique permettant la navigation en arborescence et l’export des données vers des formats compatibles BloodHound ainsi que CSV. L’outil vise à faciliter l’exploration des annuaires et s’intègre directement à Neo4j pour les analyses de sécurité. • Caractéristiques techniques ...

Source : TrustedSec — Dans une analyse technique, les chercheurs décrivent une méthode d’exploitation de Windows Server Update Services (WSUS) par relais NTLM permettant de capter des identifiants de machines (et parfois d’utilisateurs) et de les relayer vers d’autres services d’entreprise. L’attaque s’appuie sur un attaquant présent sur le réseau local réalisant de l’ARP/DNS spoofing pour intercepter le trafic WSUS. Les communications des clients WSUS sont redirigées vers un listener ntlmrelayx contrôlé par l’attaquant, ce qui expose les flux d’authentification NTLM. ...

Source: Trend Micro (analyse publiée le 9 septembre 2025). Le rapport couvre une campagne d’août 2025 menée par le groupe ransomware émergent The Gentlemen, caractérisée par des outils adaptatifs et des contournements ciblés des protections d’entreprise. Les secteurs les plus touchés sont la manufacture, la construction, la santé et l’assurance, avec un fort focus Asie‑Pacifique (notamment Thaïlande) et les États‑Unis (17 pays affectés). Chaîne d’attaque et mouvements: l’accès initial est attribué avec probabilité à l’exploitation de services exposés ou à des identifiants compromis. Des indices montrent la compromission d’un compte administrateur FortiGate et d’un serveur FortiGate accessible depuis Internet. La découverte réseau s’appuie sur Advanced IP Scanner et des scripts batch (ex. “1.bat”) pour l’énumération massive des comptes/groupes Active Directory. La latéralisation utilise PsExec, l’affaiblissement des paramètres d’authentification via modifications du Registre, et la persistance via AnyDesk. Des scans internes sont réalisés avec Nmap; un usage de PuTTY/SSH est également évoqué. ...