Il \u00e9tait une fois…<\/em><\/p>\n\n\n\n un matin de septembre 2019 o\u00f9 j’ai voulu r\u00e9initialiser mon mot de passe \u00e0 l’aide de ADSelfService Plus. Je l’avais d\u00e9j\u00e0 fait une fois et cela avait fonctionn\u00e9 sauf que ce jour l\u00e0 le serveur h\u00e9bergeant la solution \u00e9tait down….<\/p>\n\n\n\n Au lieu d’obtenir une erreur Windows classique, j’avais eu une fen\u00eatre d’erreur HTTP.<\/p>\n\n\n\n Tiens ? Cela m’a surpris, je pensais qu’il s’agissait d’une application avec une GUI Windows mais non je venais de comprendre qu’il s’agissait d’une application de type mini-browser web pr\u00e9sentant des pages HTML. Cela m’a d’autant plus intrigu\u00e9 qu’en scrutant les processus Windows, j’avais not\u00e9 qu’ADSelfService Plus tournait sous l’utilisateur Local System, int\u00e9ressant.<\/p>\n\n\n\n Je me suis aussit\u00f4t dit que s’il existait une vuln\u00e9rabilit\u00e9 sur ce logiciel, cela pourrait servir pour de l’\u00e9l\u00e9vation de privil\u00e8ges.<\/p>\n\n\n\n Du coup j’ai regard\u00e9 c\u00f4t\u00e9 r\u00e9seau quel nom de domaine et protocole cherchait \u00e0 joindre le client ADSelfservice Plus. Un coup de netstat et c’\u00e9tait r\u00e9gl\u00e9, j’avais le FQDN avec le protocole, du HTTPS. <\/p>\n\n\n\n Avec ces \u00e9l\u00e9ments je me suis demand\u00e9 comment allait r\u00e9agir le client ADSelfService Plus si au lieu de lui pr\u00e9senter son v\u00e9ritable serveur je lui pr\u00e9sentais un \u00ab\u00a0fake\u00a0\u00bb serveur ? <\/p>\n\n\n\n Rien de plus simple sous Linux et Python que de lancer un mini serveur Web. En revanche je me suis dit que j’allais avoir du mal \u00e0 g\u00e9n\u00e9rer un certificat SSL valide identique \u00e0 celui du vrai serveur… il d\u00e9tecterait forc\u00e9ment une anomalie.<\/p>\n\n\n\n Je me suis dit, tant pis, faisons un certificat SSL autosign\u00e9 et on verra. Bien m’en a pris, vous allez comprendre pourquoi \ud83d\ude42<\/p>\n\n\n\n Je passe sous silence le fait qu’il m’a aussi fallu lanc\u00e9 un fake DNS serveur zappant toutes les requ\u00eates DNS sauf celle correspondant au serveur h\u00e9bergeant ADSelfservice Plus ; le but \u00e9tant de rediriger les \u00ab\u00a0bonnes\u00a0\u00bb requ\u00eates DNS vers mon fake ADSelfService Web serveur.<\/p>\n\n\n\n Voila j’avais tout ce qui me fallait pour lancer un test. <\/p>\n\n\n\n Le pr\u00e9-requis pour cette attaque \u00e9tait simplement d’avoir un acc\u00e8s physique \u00e0 un PC \u00e9quip\u00e9 d’ADSelfService Plus.<\/p>\n\n\n\n Et oui c’est normal cette erreur de certificat SSL car justement j’ai g\u00e9n\u00e9r\u00e9 un certificat SSL auto-sign\u00e9.<\/p>\n\n\n\n Et l\u00e0 je me suis dit…vu que le client ADSelfService tourne sous Local System, cette fen\u00eatre d’alerte de certificat SSL, elle tourne aussi sous Local System, y aurait pas moyen de lancer un shell ?<\/p>\n\n\n\n Alors j’ai cliqu\u00e9 sur \u00ab\u00a0Afficher le certificat\u00a0\u00bb, puis dans l’onglet \u00ab\u00a0D\u00e9tails\u00a0\u00bb :<\/p>\n\n\n\n Qu’est-ce qu’on voit en bas de cet onglet \u00ab\u00a0D\u00e9tails\u00a0\u00bb ? <\/p>\n\n\n\n \u00ab\u00a0Copier dans un fichier…\u00a0\u00bb et voila le tour est jou\u00e9, il n’y avait plus qu’\u00e0 lancer un invite de commandes dans la fen\u00eatre \u00ab\u00a0Enregistrer sous…\u00a0\u00bb pour se retrouver dans un shell avec les droits \u00ab\u00a0Local System\u00a0\u00bb<\/strong> !<\/p>\n\n\n\n C’est dingue je me suis dit que non seulement je pouvais \u00e9lever mes privil\u00e8ges mais qu’au final c’\u00e9tait bien plus grave. <\/p>\n\n\n\n En effet cette vuln\u00e9rabilit\u00e9 permettait de tout faire : cr\u00e9er une backdoor, ins\u00e9rer un malware, exfiltrer des donn\u00e9es utilisateurs le tout sans m\u00eame avoir besoin de s’authentifier<\/strong> sur le poste de travail.<\/p>\n\n\n\n Et oui le bonus avec ADSelfService Plus c’est qu’il est accessible directement sur la mire d’authentification ! <\/p>\n\n\n\n Wahou !<\/p>\n\n\n\n C’\u00e9tait si facile que je me suis dit que cette vuln\u00e9rabilit\u00e9 devait d\u00e9j\u00e0 \u00eatre connue de l’\u00e9diteur, r\u00e9f\u00e9renc\u00e9e en tant que CVE quelque part, que je n’avais pas la derni\u00e8re version du logiciel, etc… et bien que nenni !<\/p>\n\n\n\n Je me suis donc rapproch\u00e9 de l’\u00e9diteur et comme c’est de plus en plus souvent le cas, il dispose d’un programme de Bug Bounty et j’ai ainsi d\u00e9clar\u00e9 un nouveau \u00ab\u00a0bug\u00a0\u00bb :<\/p>\n\n\n\n Au bout de quelques mois (heum…), l’\u00e9diteur m’a r\u00e9pondu, le 16 mars 2020 exactement, en me remerciant et en publiant une mise \u00e0 jour, la build 5814<\/strong> avec une petite mention sur cette vuln\u00e9rabilit\u00e9, \u00ab\u00a0A vulnerability issue in the ADSelfService Plus login agent has been fixed\u00a0\u00bb<\/em> : <\/p>\n\n\n\n https:\/\/www.manageengine.com\/products\/self-service-password\/release-notes.html<\/a><\/p>\n\n\n\n Moralit\u00e9, je passe souvent un temps consid\u00e9rable \u00e0 d\u00e9terrer de nouvelles vuln\u00e9rabilit\u00e9s mais parfois c’est si simple, il n’y a qu’\u00e0 se pencher pour en trouver.<\/p>\n\n\n\n Fin<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Avant de rentrer dans le vif du sujet, quelques mots sur ADSelfService Plus. ADSelfService Plus est une solution de gestion de mot de passe en libre-service dans un environnement Active Directory. Ce logiciel aide les utilisateurs du domaine \u00e0 effectuer en libre-service la r\u00e9initialisation de leur mot de passe ainsi que le d\u00e9verrouillage de leur … Continuer la lecture de ADSelfService Plus, histoire d’une 0-day<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-642","post","type-post","status-publish","format-standard","hentry","category-pentest"],"_links":{"self":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/642","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=642"}],"version-history":[{"count":71,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/642\/revisions"}],"predecessor-version":[{"id":723,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/642\/revisions\/723"}],"wp:attachment":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=642"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=642"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=642"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2020\/05\/image.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2020\/05\/image-1.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2020\/05\/image-2.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2020\/05\/image-3.png\")
<\/figcaption><\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2020\/05\/image-4.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2020\/05\/image-6.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2020\/05\/image-7.png\")
<\/figure>\n\n\n\n