AdminSDHolder

AdminSdHolder protÚge les objets de domaine contre les changements de permission. "AdminSdHolder" fait référence soit à un objet de domaine, soit à une opération, selon le contexte.

L'opération consiste à ce que le PDC (Principal Domain Controller) restaure toutes les 60 minutes des autorisations ACLs prédéfinies pour les utilisateurs à haut privilÚge.

L'opĂ©ration est menĂ©e par un processus appelĂ© SDProp (Security Descriptor propagator). SDProp est un processus qui s’exĂ©cute toutes les 60 minutes (par dĂ©faut) sur le contrĂŽleur de domaine qui contient l’émulateur PDC du domaine (PDCE).

SDProp compare les autorisations sur l’objet AdminSDHolder du domaine avec les autorisations sur les comptes et groupes protĂ©gĂ©s du domaine. Si les autorisations sur l’un des comptes et groupes protĂ©gĂ©s ne correspondent pas aux autorisations sur l’objet AdminSDHolder, les autorisations sur les comptes et groupes protĂ©gĂ©s sont rĂ©initialisĂ©es pour correspondre Ă  celles de l’objet AdminSDHolder du domaine.

L'objet AdminSdHolder est situé à l'adresse CN=AdminSdHolder,CN=SYSTEM,DC=DOMAIN,DC=LOCAL.

Par exemple, la DACL de l'objet AdminSdHolder par défaut contient ce qui suit.

  • Utilisateurs authentifiĂ©s : Read

  • SYSTEM : Full Control

  • Administrateurs : Modify

  • Administrateurs de domaine : ReadAndExecute

  • Administrateurs d'entreprise : ReadAndExecute

Les objets protégés par défaut sont les suivants :

  • Les membres (Ă©ventuellement imbriquĂ©s) des groupes suivants : Account Operators, Administrators, Backup Operators, Domain Admins, Domain Controllers, Enterprise Admins, Print Operators, Read-only Domain Controllers, Replicator, Schema Admins, Server Operators

  • les utilisateurs suivants : Administrator, krbtgt

Lorsqu'on parle d'AdminSdHolder, on mentionne généralement l'attribut AdminCount. Les objets protégés par AdminSDHolder ont cet attribut automatiquement défini sur 1 lorsqu'on l'ajoute à un groupe protégé.

Il faut bien noter que l’attribut AdminCount n'est pas remis Ă  0 lorsque l'utilisateur est retirĂ© d'un groupe protĂ©gĂ©. La suppression d'un compte utilisateur aprĂšs la rĂ©vocation de ses droits Ă  privilĂšges Ă©levĂ©s est recommandĂ©e, sinon le compte peut ĂȘtre utilisĂ© pour crĂ©er des backdoors avant que ses droits ne soient supprimĂ©s. C’est pourquoi Microsoft ne supprime pas l'entrĂ©e de l'attribut AdminCount, car il suppose que le compte va ĂȘtre dĂ©sactivĂ© ou supprimĂ©.

Si des privilĂšges suffisants sont obtenus, un attaquant peut abuser de AdminSdHolder pour maintenir la persistance sur un domaine en modifiant la DACL de l'objet AdminSdHolder.

Par exemple, un attaquant pourrait ajouter l'ACE suivant à la DACL de AdminSdHolder : Utilisateur_contrÎlé_par_un_attaquant: Full Control

Lors de la prochaine exécution de SDProp, cet utilisateur aura un privilÚge GenericAll sur tous les objets protégés (Admins de domaine, contrÎleurs de domaine, etc.).

PreviousCustom SSPNextCross Trust Attack

Last updated

Was this helpful?