Mastodawn

📢 Attaque RBCD cross-domaine et cross-forêt Active Directory : analyse technique et implémentation Impacket
📝 ## 🔍 Contexte

Publié le 23/03/2026 par Simon Msika de Synacktiv, c...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-29-attaque-rbcd-cross-domaine-et-cross-foret-active-directory-analyse-technique-et-implementation-impacket/
🌐 source : https://www.synacktiv.com/en/publications/exploring-cross-domain-cross-forest-rbcd
#Active_Directory #Cross_domain #Cyberveille

Attaque RBCD cross-domaine et cross-forêt Active Directory : analyse technique et implémentation Impacket

🔍 Contexte Publié le 23/03/2026 par Simon Msika de Synacktiv, cet article présente une recherche approfondie sur l’exploitation de la délégation contrainte basée sur les ressources (RBCD) dans des environnements Active Directory multi-domaines et multi-forêts, un scénario peu documenté jusqu’alors. ⚙️ Mécanisme de l’attaque L’attaque RBCD repose sur la modification de l’attribut msDS-AllowedToActOnBehalfOfOtherIdentity d’un compte machine pour permettre l’usurpation d’identité d’utilisateurs. Dans un contexte cross-domaine, le workflow Kerberos implique plusieurs étapes supplémentaires :

CyberVeille

CyberVeille.ch Mar 29

📢 CVE-2025-33073 : élévation de privilèges SYSTEM via délégation Kerberos non contrainte
📝 ## 🔍 Contexte

Article publié le 27 mars 2026 par Praetorian (blog technique).
📖 cyberveille : https://cyberveille.ch/posts/2026-03-28-cve-2025-33073-elevation-de-privileges-system-via-delegation-kerberos-non-contrainte/
🌐 source : https://www.praetorian.com/blog/cve-2025-33073-ntlm-reflection-one-hop/
#Active_Directory #CVE_2025_33073 #Cyberveille

CVE-2025-33073 : élévation de privilèges SYSTEM via délégation Kerberos non contrainte

🔍 Contexte Article publié le 27 mars 2026 par Praetorian (blog technique). Il s’agit d’une analyse technique détaillée de la vulnérabilité CVE-2025-33073, portant sur l’exploitation de la délégation Kerberos non contrainte dans les environnements Windows Active Directory. ⚠️ Vulnérabilité analysée CVE-2025-33073 affecte les hôtes Windows membres de domaine ne disposant pas du signature SMB activée. Elle permet à tout utilisateur de domaine disposant d’un accès réseau d’obtenir des privilèges SYSTEM sur un serveur membre non patché, sans nécessiter d’accès administrateur local préalable.

CyberVeille

Habr Mar 28

Как выучить Active Directory и групповые политики

Темы статьи 1. Аналог AD DS: Samba DC 2. Активация, лицензирование и законодательство 3. Правильный подход и автоматизация 4. Список литературы, методы её изучения 5. Синхронизация времени в домене 6. 50 примеров задач, решаемых при помощи GPO

https://habr.com/ru/articles/1016152/

#active_directory #windows #microsoft #синхронизация_времени #групповые_политики #учебный_процесс

Как выучить Active Directory и групповые политики

Темы статьи Аналог AD DS: Samba DC Активация, лицензирование и законодательство Правильный подход и автоматизация Список литературы, методы её изучения Синхронизация времени в домене 50 примеров...

Хабр

Habr Mar 24

Никаких эксплойтов и zero-day: как эксплуатация безобидных настроек Асtive Directory приводит к компрометации домена

Привет, Хабр! На связи Дмитрий Неверов, технический консультант направления тестирования внутренней инфраструктуры команды Бастиона и автор книги «Идём по киберследу» . Пентестер зачастую воспринимается как «белый маг хакер», которому дай только возможность запустить пару эксплойтов и поэксплуатировать zero-day. Однако наш опыт подсказывает, что самые неприметные и «безобидные» настройки Active Directory могут нести не меньшую опасность в руках умелого взломщика. В этой статье я расскажу о трех интересных пентестах, выполненных нашей командой. Во всех этих кейсах использовалась моя базовая методология пентеста, которая несколько отличается от классического подхода, и применялись только этичные приемы. Итак, поехали!

https://habr.com/ru/companies/bastion/articles/1012354/

#active_directory #Red_Team #пентест #информационная_безопасность #тестирование_на_проникновение #Kerberos #AD #компрометация_домена

Никаких эксплойтов и zero-day: как эксплуатация безобидных настроек Асtive Directory приводит к компрометации домена

Хабр

Habr Mar 16

Типичные ошибки настройки Active Directory

Всем привет! На связи Карпенко Савелий, специалист по тестированию на проникновение из группы по борьбе с уязвимостями в компании ТехВилл. В рамках нашей работы мы регулярно тестируем Active Directory (AD). Это центральный сервис аутентификации и управления доступом во многих корпоративных сетях. С практической точки зрения ошибки в конфигурациях AD часто становятся главной причиной взлома, среди проблемных аспектов можно назвать неверное назначение прав, доступов и использование устаревших механизмов аутентификации. Наличие недостатков в конфигурациях даёт атакующему возможность последовательно поднимать уровень своих привилегий. Ниже собраны типовые ошибки конфигурации, которые чаще всего встречаются на проектах, и показано, как они складываются в цепочки компрометации. На практике аудит и тестирование обычно начинаются с исходных учетных данных, которые предоставляет заказчик. Если их нет, проникновение в инфраструктуру часто происходит через внешние веб-сервисы и ошибки на периметре (утечки паролей, небезопасные публикации, уязвимости бизнес-приложений). В российской практике одним из наиболее частых векторов для входа считается инфраструктура 1С, из-за повсеместного использования и различного уровня поддержки здесь чаще встречаются и слабые настройки, и типовые уязвимости.

https://habr.com/ru/companies/vkusvill/articles/1010812/

#вкусвилл #active_directory #тестирование #kerberos #windows #pentest

Типичные ошибки настройки Active Directory

Хабр

CyberVeille.ch Mar 13

📢 Snow/SnowTeam: une infrastructure distribuée pour brute‑forcer des VPN et dumper Active Directory (forum XSS)
📝 ...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-10-snow-snowteam-une-infrastructure-distribuee-pour-brute-forcer-des-vpn-et-dumper-active-directory-forum-xss/
🌐 source : https://www.linkedin.com/posts/activity-7436835666438819840-35XD?utm_source=share&utm_medium=member_desktop&rcm=ACoAAAsffmIBaKIs81zsMn9d3x90lptrQJiqxOU
#Active_Directory #IOC #Cyberveille

Snow/SnowTeam: une infrastructure distribuée pour brute‑forcer des VPN et dumper Active Directory (forum XSS)

Selon SECTØR (Flare), l’acteur russophone « Snow », actif sur le forum XSS depuis août 2023, vend et opère des outils offensifs visant les entreprises, dont un pipeline distribué de découverte/attaque de VPN et un « Active Directory Dumper v2.0 ». • Profil et activité: « Snow » a publié 526 messages sur XSS, démontre une forte expertise technique (malware, architecture système, pentest, sécurité d’entreprise) et une motivation principalement financière (vente d’outils, contenus techniques pour soigner sa réputation). Les outils et techniques visent des organisations mondiales, particulièrement aux États‑Unis, en Europe et autres économies « Tier‑1 ».

CyberVeille

CyberVeille.ch Mar 13

📢 Intrusions via FortiGate: comptes de service volés, postes rogue et compromission AD
📝 Selon SentinelOne (billet de blog DFIR), plusieurs incidents début 2026 montrent des FortiGate compromis servant de point d’entr...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-11-intrusions-via-fortigate-comptes-de-service-voles-postes-rogue-et-compromission-ad/
🌐 source : https://www.sentinelone.com/blog/fortigate-edge-intrusions/
#Active_Directory #CVE_SSO_Fortinet #Cyberveille

Intrusions via FortiGate: comptes de service volés, postes rogue et compromission AD

Selon SentinelOne (billet de blog DFIR), plusieurs incidents début 2026 montrent des FortiGate compromis servant de point d’entrée pour des mouvements latéraux profonds dans Active Directory, avec exploitation de failles SSO corrigées par Fortinet et carences de logs compliquant l’attribution. • Vulnérabilités et accès initial: exploitation de CVE-2025-59718 et CVE-2025-59719 (SSO ne validant pas les signatures cryptographiques) et de CVE-2026-24858 (FortiCloud SSO), permettant un accès administrateur non authentifié. Des acteurs tentent aussi des connexions avec identifiants faibles. Une fois sur l’appliance, l’attaque consiste à extraire la configuration via la commande show full-configuration et à déchiffrer les identifiants AD/LDAP, les fichiers de configuration FortiOS étant chiffrés de façon réversible. Le délai entre compromission périmétrique et action réseau a varié de 2 mois à quasi immédiat.

CyberVeille

Habr Mar 12

Join-to-domain. Вводим устройство под управлением РЕД ОС в домен и забываем про скучные мануалы

Привет, Хабр! Меня зовут Владлен, я ― инженер-программист отдела разработки РЕД ОС. Ко мне пришли с предложением рассказать об утилите, которую мы создали для быстрого ввода устройств на базе РЕД ОС в домен. Тема интересная, ведь join-to-domain умеет в несколько механизмов подключения, пережил перенос на другой язык программирования и дружит с РЕД АДМ. Итак, сегодня я расскажу подробнее о том, как мы создали join-to-domain и как использовать его на благо вашей ИТ-инфраструктуры.

https://habr.com/ru/companies/redsoft/articles/1009346/

#ред_ос #утилита #Ввод_в_домен #Linux #Active_Directory #Samba #SSSD #Winbind #Автоматизация #администрирование

Join-to-domain. Вводим устройство под управлением РЕД ОС в домен и забываем про скучные мануалы

Хабр

CyberVeille.ch Mar 3

📢 Chaîne d’intrusion multistade via malvertising et faux CAPTCHA observée par Deception.Pro
📝 Selon Deception.Pro, des chercheurs ont observé durant une opération de 12 jours une **chaîne d’intrusion à haute sévérité...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-02-chaine-dintrusion-multistade-via-malvertising-et-faux-captcha-observee-par-deception-pro/
🌐 source : https://blog.deception.pro/blog/clickfix-hok-velvet-tempest-termite
#Active_Directory #IOC #Cyberveille

Chaîne d’intrusion multistade via malvertising et faux CAPTCHA observée par Deception.Pro

Selon Deception.Pro, des chercheurs ont observé durant une opération de 12 jours une chaîne d’intrusion à haute sévérité initiée par du malvertising et un faux CAPTCHA de type ClickFix. • Le leurre incitait la victime à coller une commande obfusquée dans la boîte de dialogue Windows Run, déclenchant une exécution emboîtée de cmd.exe. L’attaque testait la connectivité sortante via finger.exe (TCP/79), puis récupérait depuis l’infrastructure attaquante un fichier se faisant passer pour un “PDF”, qui s’est avéré être une archive compressée extraite localement avec les outils Windows.

CyberVeille

CyberVeille.ch Mar 2

📢 Windows Server 2025 bloque le relais NTLMv1 cross-DC en forçant NTLMv2 dans msv1_0.dll
📝 Selon un billet technique publié le 2 mars 2026, Microsoft a modifié msv1_0.dll dans Windows Server 2025...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-02-windows-server-2025-bloque-le-relais-ntlmv1-cross-dc-en-forcant-ntlmv2-dans-msv1-0-dll/
🌐 source : https://decoder.cloud/2026/02/25/what-windows-server-2025-quietly-did-to-your-ntlm-relay/
#Active_Directory #NTLM #Cyberveille

Windows Server 2025 bloque le relais NTLMv1 cross-DC en forçant NTLMv2 dans msv1_0.dll

Selon un billet technique publié le 2 mars 2026, Microsoft a modifié msv1_0.dll dans Windows Server 2025 pour empêcher la génération d’NTLMv1 côté client, rendant caduque l’attaque de coercition cross-DC suivie d’un relais vers LDAPS basée sur NTLMv1 avec ESS et suppression du MIC. Rappel de l’attaque classique: un DC victime (DC2) avec LmCompatibilityLevel mal configuré (< 3) est contraint d’authentifier vers l’attaquant (ex. via DFSCoerce), qui reçoit un NTLMv1 + ESS. L’attaquant retire le MIC (–remove-mic) et relaie vers LDAPS sur un autre DC (DC1) via ntlmrelayx, permettant la modification d’attributs sensibles comme msDS-KeyCredentialLink (Shadow Credentials) ou l’ajout d’RBCD, menant à une élévation de privilèges.

CyberVeille