Дослідники безпеки Бенджамін Делпі (Benjamin Delpy) і Венсан Ле Ту (Vincent Le Toux) продемонстрували атаку на Microsoft Active Directory, яка дозволила їм впровадити власний контролер домену у вже існуючі налаштування корпоративної мережі підприємства. Атаку, яка отримала назву DCShadow, було представлено минулого тижня на конференції Blue Hat в Ізраїлі.

DCShadow дозволяє атакуючому створити у середовищі Active Directory підроблений контролер домену та за його допомогою поширювати шкідливе ПЗ. «Охоче ​​дізнатися, в чому секрет фокусу, розповідаю. DCShadow використовує DrsReplicaAdd (DRSR 4.1.19.2) для запуску реплікації. Атрибут replTo контролера домену модифікується та ініціює негайну реплікацію. ReplicaSync не запускає реплікацію, оскільки replTo не встановлено», - пояснив Ле Ту.

ІБ-експерт Люк Делсалле (Luc Delsalle), що спеціалізується на Active Directory, більш докладно розібрав подану дослідниками атаку. За його словами, ідея створення підробленого контролера домену не є новою і вже не раз згадувалася в різних публікаціях на тему безпеки. Однак раніше для цього доводилося використовувати інвазивні техніки (наприклад, налаштовувати віртуальну машину під керуванням Windows Server) і авторизуватися у звичайному контролері домену, щоб перетворити віртуальну машину на контролер домена, що атакується.

Подібну атаку легко помітити, повідомив Делсалле. За його словами, представлена ​​Делпі і Ле Ту атака повинна «модифікувати базу даних інфраструктури Active Directory, що атакується, для авторизації шкідливого сервера для процесу реплікації». Під час атаки DCShadow створюється новий сервер та об'єкти nTDSDSA (згідно з описом Microsoft, являють собою агент реплікації для обробки протоколу Directory Replication Service).

Зміна відбувається у привілейованому середовищі, тому для здійснення атаки потрібен контроль над створенням серверів та ініціюванням реплікації. Як пояснив Делсалле, Делпі та Ле Ту змогли «ізолювати мінімальний набір SPN, необхідних для процесу реплікації». Під час дослідження з'ясувалося, що для підключення іншого контролера домену до шкідливого сервера потрібно два SPN.

Потім атакуючий може зареєструвати в середовищі реплікації домену контролер, автентифікований іншим контролером домену. Ініціювавши процес реплікації з IDL_DRSReplicaAdd RPC, зловмисник зможе встановити бекдор шляхом додавання нового члена до адміністративної групи або налаштування історії SID у контрольованому обліковому записі користувача.