Mastodawn

Типичные ошибки настройки Active Directory

Всем привет! На связи Карпенко Савелий, специалист по тестированию на проникновение из группы по борьбе с уязвимостями в компании ТехВилл. В рамках нашей работы мы регулярно тестируем Active Directory (AD). Это центральный сервис аутентификации и управления доступом во многих корпоративных сетях. С практической точки зрения ошибки в конфигурациях AD часто становятся главной причиной взлома, среди проблемных аспектов можно назвать неверное назначение прав, доступов и использование устаревших механизмов аутентификации. Наличие недостатков в конфигурациях даёт атакующему возможность последовательно поднимать уровень своих привилегий. Ниже собраны типовые ошибки конфигурации, которые чаще всего встречаются на проектах, и показано, как они складываются в цепочки компрометации. На практике аудит и тестирование обычно начинаются с исходных учетных данных, которые предоставляет заказчик. Если их нет, проникновение в инфраструктуру часто происходит через внешние веб-сервисы и ошибки на периметре (утечки паролей, небезопасные публикации, уязвимости бизнес-приложений). В российской практике одним из наиболее частых векторов для входа считается инфраструктура 1С, из-за повсеместного использования и различного уровня поддержки здесь чаще встречаются и слабые настройки, и типовые уязвимости.

https://habr.com/ru/companies/vkusvill/articles/1010812/

#вкусвилл #active_directory #тестирование #kerberos #windows #pentest

Типичные ошибки настройки Active Directory

Хабр

CyberVeille.ch 4d ago

📢 Snow/SnowTeam: une infrastructure distribuée pour brute‑forcer des VPN et dumper Active Directory (forum XSS)
📝 ...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-10-snow-snowteam-une-infrastructure-distribuee-pour-brute-forcer-des-vpn-et-dumper-active-directory-forum-xss/
🌐 source : https://www.linkedin.com/posts/activity-7436835666438819840-35XD?utm_source=share&utm_medium=member_desktop&rcm=ACoAAAsffmIBaKIs81zsMn9d3x90lptrQJiqxOU
#Active_Directory #IOC #Cyberveille

Snow/SnowTeam: une infrastructure distribuée pour brute‑forcer des VPN et dumper Active Directory (forum XSS)

Selon SECTØR (Flare), l’acteur russophone « Snow », actif sur le forum XSS depuis août 2023, vend et opère des outils offensifs visant les entreprises, dont un pipeline distribué de découverte/attaque de VPN et un « Active Directory Dumper v2.0 ». • Profil et activité: « Snow » a publié 526 messages sur XSS, démontre une forte expertise technique (malware, architecture système, pentest, sécurité d’entreprise) et une motivation principalement financière (vente d’outils, contenus techniques pour soigner sa réputation). Les outils et techniques visent des organisations mondiales, particulièrement aux États‑Unis, en Europe et autres économies « Tier‑1 ».

CyberVeille

CyberVeille.ch 4d ago

📢 Intrusions via FortiGate: comptes de service volés, postes rogue et compromission AD
📝 Selon SentinelOne (billet de blog DFIR), plusieurs incidents début 2026 montrent des FortiGate compromis servant de point d’entr...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-11-intrusions-via-fortigate-comptes-de-service-voles-postes-rogue-et-compromission-ad/
🌐 source : https://www.sentinelone.com/blog/fortigate-edge-intrusions/
#Active_Directory #CVE_SSO_Fortinet #Cyberveille

Intrusions via FortiGate: comptes de service volés, postes rogue et compromission AD

Selon SentinelOne (billet de blog DFIR), plusieurs incidents début 2026 montrent des FortiGate compromis servant de point d’entrée pour des mouvements latéraux profonds dans Active Directory, avec exploitation de failles SSO corrigées par Fortinet et carences de logs compliquant l’attribution. • Vulnérabilités et accès initial: exploitation de CVE-2025-59718 et CVE-2025-59719 (SSO ne validant pas les signatures cryptographiques) et de CVE-2026-24858 (FortiCloud SSO), permettant un accès administrateur non authentifié. Des acteurs tentent aussi des connexions avec identifiants faibles. Une fois sur l’appliance, l’attaque consiste à extraire la configuration via la commande show full-configuration et à déchiffrer les identifiants AD/LDAP, les fichiers de configuration FortiOS étant chiffrés de façon réversible. Le délai entre compromission périmétrique et action réseau a varié de 2 mois à quasi immédiat.

CyberVeille

Habr 5d ago

Join-to-domain. Вводим устройство под управлением РЕД ОС в домен и забываем про скучные мануалы

Привет, Хабр! Меня зовут Владлен, я ― инженер-программист отдела разработки РЕД ОС. Ко мне пришли с предложением рассказать об утилите, которую мы создали для быстрого ввода устройств на базе РЕД ОС в домен. Тема интересная, ведь join-to-domain умеет в несколько механизмов подключения, пережил перенос на другой язык программирования и дружит с РЕД АДМ. Итак, сегодня я расскажу подробнее о том, как мы создали join-to-domain и как использовать его на благо вашей ИТ-инфраструктуры.

https://habr.com/ru/companies/redsoft/articles/1009346/

#ред_ос #утилита #Ввод_в_домен #Linux #Active_Directory #Samba #SSSD #Winbind #Автоматизация #администрирование

Join-to-domain. Вводим устройство под управлением РЕД ОС в домен и забываем про скучные мануалы

Хабр

CyberVeille.ch Mar 3

📢 Chaîne d’intrusion multistade via malvertising et faux CAPTCHA observée par Deception.Pro
📝 Selon Deception.Pro, des chercheurs ont observé durant une opération de 12 jours une **chaîne d’intrusion à haute sévérité...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-02-chaine-dintrusion-multistade-via-malvertising-et-faux-captcha-observee-par-deception-pro/
🌐 source : https://blog.deception.pro/blog/clickfix-hok-velvet-tempest-termite
#Active_Directory #IOC #Cyberveille

Chaîne d’intrusion multistade via malvertising et faux CAPTCHA observée par Deception.Pro

Selon Deception.Pro, des chercheurs ont observé durant une opération de 12 jours une chaîne d’intrusion à haute sévérité initiée par du malvertising et un faux CAPTCHA de type ClickFix. • Le leurre incitait la victime à coller une commande obfusquée dans la boîte de dialogue Windows Run, déclenchant une exécution emboîtée de cmd.exe. L’attaque testait la connectivité sortante via finger.exe (TCP/79), puis récupérait depuis l’infrastructure attaquante un fichier se faisant passer pour un “PDF”, qui s’est avéré être une archive compressée extraite localement avec les outils Windows.

CyberVeille

CyberVeille.ch Mar 2

📢 Windows Server 2025 bloque le relais NTLMv1 cross-DC en forçant NTLMv2 dans msv1_0.dll
📝 Selon un billet technique publié le 2 mars 2026, Microsoft a modifié msv1_0.dll dans Windows Server 2025...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-02-windows-server-2025-bloque-le-relais-ntlmv1-cross-dc-en-forcant-ntlmv2-dans-msv1-0-dll/
🌐 source : https://decoder.cloud/2026/02/25/what-windows-server-2025-quietly-did-to-your-ntlm-relay/
#Active_Directory #NTLM #Cyberveille

Windows Server 2025 bloque le relais NTLMv1 cross-DC en forçant NTLMv2 dans msv1_0.dll

Selon un billet technique publié le 2 mars 2026, Microsoft a modifié msv1_0.dll dans Windows Server 2025 pour empêcher la génération d’NTLMv1 côté client, rendant caduque l’attaque de coercition cross-DC suivie d’un relais vers LDAPS basée sur NTLMv1 avec ESS et suppression du MIC. Rappel de l’attaque classique: un DC victime (DC2) avec LmCompatibilityLevel mal configuré (< 3) est contraint d’authentifier vers l’attaquant (ex. via DFSCoerce), qui reçoit un NTLMv1 + ESS. L’attaquant retire le MIC (–remove-mic) et relaie vers LDAPS sur un autre DC (DC1) via ntlmrelayx, permettant la modification d’attributs sensibles comme msDS-KeyCredentialLink (Shadow Credentials) ou l’ajout d’RBCD, menant à une élévation de privilèges.

CyberVeille

Hilko Bengen Feb 27

Blue teamers, if you use Bloodhound to map trust relationships that may also be useful to attackers and would like to extend that to your (possibly otherwise unmanaged) fleet of #linux systems, golinhound (https://github.com/RantaSec/golinhound) by my colleague Lukas Klein may be useful to you.
So far it can be used to produce useful data about #ssh keys, #sudo, #Active_Directory, and #Azure / #EntraID integration.
#itsecurity

GitHub - RantaSec/golinhound: A BloodHound collector written in Go that discovers Linux and SSH attack paths. Outputs OpenGraph JSON and integrates with existing SharpHound and AzureHound data.

A BloodHound collector written in Go that discovers Linux and SSH attack paths. Outputs OpenGraph JSON and integrates with existing SharpHound and AzureHound data. - RantaSec/golinhound

GitHub

CyberVeille.ch Feb 22

📢 Un acteur appuyé par l’IA compromet plus de 600 FortiGate via interfaces exposées et identifiants faibles
📝 Source et contexte — AWS Security Blog (CJ Moses...
📖 cyberveille : https://cyberveille.ch/posts/2026-02-22-un-acteur-appuye-par-lia-compromet-plus-de-600-fortigate-via-interfaces-exposees-et-identifiants-faibles/
🌐 source : https://aws.amazon.com/fr/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/
#Active_Directory #FortiGate #Cyberveille

Un acteur appuyé par l’IA compromet plus de 600 FortiGate via interfaces exposées et identifiants faibles

Source et contexte — AWS Security Blog (CJ Moses, Amazon Threat Intelligence) publie une analyse d’une campagne observée du 11 janvier au 18 février 2026 : un acteur russophone à motivation financière a compromis plus de 600 appareils FortiGate dans plus de 55 pays. Aucune vulnérabilité FortiGate n’a été exploitée ; les intrusions reposent sur des interfaces de gestion exposées, des identifiants faibles et l’absence de MFA, avec une forte dépendance à des services d’IA générative commerciaux. L’acteur a compromis des environnements Active Directory, exfiltré des bases d’identifiants et ciblé les infrastructures de sauvegarde (pré-ransomware). L’infrastructure AWS n’a pas été impliquée.

CyberVeille

Laurent Espitallier (nouveau)Jan 25

Pourquoi les réinitialisations de mot de passe Active Directory déferlent dans le travail hybride https://www.bleepingcomputer.com/news/security/why-active-directory-password-resets-are-surging-in-hybrid-work #mot_de_passe #motdepasse #réinitialisation #cybersécurité #travail_hybride #travailhybride #travail_à_distance #travailàdistance #télétravail #active_directory #activedirectory

Why Active Directory password resets are surging in hybrid work

Hybrid work has driven a surge in Active Directory password resets, turning minor lockouts into major productivity drains. Specops shows why remote access, cached credentials, and security policies are fueling the spike.

BleepingComputer

CyberVeille.ch Jan 19

📢 Mandiant publie des tables arc-en-ciel Net‑NTLMv1 pour accélérer la dépréciation du protocole
📝 Mandiant publie un dataset complet de tables arc‑en‑ciel dédié à **Net‑NT...
📖 cyberveille : https://cyberveille.ch/posts/2026-01-19-mandiant-publie-des-tables-arc-en-ciel-net-ntlmv1-pour-accelerer-la-depreciation-du-protocole/
🌐 source : https://cloud.google.com/blog/topics/threat-intelligence/net-ntlmv1-deprecation-rainbow-tables?hl=en
#Active_Directory #Net_NTLMv1 #Cyberveille

Mandiant publie des tables arc-en-ciel Net‑NTLMv1 pour accélérer la dépréciation du protocole

Mandiant publie un dataset complet de tables arc‑en‑ciel dédié à Net‑NTLMv1, avec l’objectif déclaré de faciliter la démonstration de l’insécurité du protocole et d’en accélérer la dépréciation. L’initiative s’appuie sur l’expertise de terrain de Mandiant et les ressources de Google Cloud, et met en avant la possibilité de récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Contexte: Net‑NTLMv1 est connu comme insecure depuis au moins 2012 (présentations à DEFCON 20), avec une cryptanalyse remontant à 1999. La prise en charge par Hashcat (2016) du craquage de clés DES via known plaintext a démocratisé l’attaque. Les tables arc‑en‑ciel existent depuis 2003 (Oechslin), héritant des travaux de Hellman (1980). Quand un attaquant obtient un hash Net‑NTLMv1 sans ESS (Extended Session Security) avec le texte clair connu 1122334455667788, une known plaintext attack (KPA) permet de récupérer de façon garantie le matériau de clé, c’est‑à‑dire le hash de mot de passe de l’objet Active Directory (AD) (utilisateur ou compte machine), facilitant une escalade de privilèges.

CyberVeille