Exploitation du groupe Account Operators

Au sein d'un Active Directory existe de nouveaux groupes disposant de différents privilèges. Le groupe le plus connu est celui des administrateurs du domaine, ceux qui ont tous les droits sur un environnement Active Directory. Cependant ce n'est pas de lui que nous parlerons aujourd'hui mais du groupe opérateurs de compte ou Account Operators.

Les utilisateurs faisant parti de ce groupe disposent de nombreux privilèges:

  • Création d'utilisateurs
  • Modification d'attributs des utilisateurs locaux et du domaine
  • Modification des attributs des groupes locaux et du domaine

Et pour couronner le tout, les membres du groupe opérateurs de comptes peuvent se connecter localement sur le DC.

Ok et dans la vraie vie à quoi ça pourrait nous servir dans une situation de pentest ? Pour illustrer la puissance de ce groupe je vais me servir de la box Forest proposée par HackTheBox dans laquelle l'utilisateur svc-alfresco fait partie de ce groupe comme le prouve la commande suivante:

whoami /all

Sur ce DC nous savons qu'il existe utilisateurs dont l'utilisateur sebastien. Nous aimerions bien nous connecter avec son compte mais nous ne connaissons pas ses identifiants. Puisque notre utilisateur courant (svc-alfresco) fait partie du groupe opérateur de comptes nous pourrons très simplement modifier le mot de passe de l'utilisateur sebastien en utilisant la commande suivante:

net user sebastien NouveauMDP

Ce qui nous permettra de nous connecter avec cet utilisateur:

Pour des raisons de sécurité nous ne pourrons cependant pas modifier les attributs:

  • des comptes administrateur locaux / domaine
  • les attributs/membres des groupes opérateurs de serveurs, opérateurs de comptes, opérateurs de backup ou encore opérateurs d'imprimantes

En revanche il reste tout à fait possible d'ajouter un utilisateur dans n'importe quel autre groupe à privilège de l'AD pour pouvoir le compromettre.