Comment perdre son Système d’Information à cause d’un serveur d’impression

Coucou tout le monde,

Il y a peu de temps, un de mes amis passionné par le pentesting a vécu une sacré aventure. Comme il est américain j’ai fait un petit travail d’adaptation afin que vous compreniez au mieux l’histoire. Je tiens à préciser qu’elle est bien entendue 100% véridique et qu’elle s’est passé dans une moyenne entreprise de services informatique basée aux USA. C’est parti !

Introduction

La semaine dernière, on m’a donné accès à un réseau qui semblait au premier abord sécurisé.

Comme je suis un peu curieux, la première chose que j’ai fait en m’installant a été de lancer un scan réseau pour voir combien d’hôtes étaient actifs et ainsi pour avoir une vague idée du SI (Système d’Information) de l’entreprise. Tout ce que j’avais à ce stade comme information, c’était mon adresse IP qui me renseignait la plage d’adressage de l’étage. Il s’agissait d’un bon /24 comme on les aime soit un maximum de 254 hôtes pour l’étage.

Je laisse donc nmap faire son petit boulot avec les informations que j’ai et lorsqu’il a terminé, presque tous les appareils étaient directement visibles. Je relance nmap une seconde fois sur un hôte au hasard pour voir si quelque chose change. Je compare donc le résultat avec celui du scan précédent. Et là, une petite lumière s’allume dans ma tête, car je constate que le port 445 est ouvert sur presque toutes les machines. Je me presse alors d’essayer un petit EternalBlue contre quelques hôtes, mais la connexion tombe à chaque fois. Je me dis alors que c’est probablement un pare-feu qui doit bloquer la connexion. En essayant de comprendre ce qui s’est passé, je remarque que j’ai tenté d’attaquer un appareil nommé « PRINT-PC ».

Je relance un scan nmap et je constaste qu’en plus du port Samba (445), le port RDP (3389) est également ouvert. Naturellement je me mets en tête de brute forcer le mot de passe RDP (Remote Desktop Protocol) en prenant le soin d’utiliser un nom d’utilisateur que j’ai recueilli à partir de la précédente attaque sur le port 445. Après une bonne minute, le logiciel se coince et répète 1234 en donnant une erreur à chaque tentative. J’ouvre alors mon client RDP pour voir ce qui cloche et…

OMG
Le mot de passe était vraiment 1234 ! 😱

Je me balade un peu sur le compte que je viens de pirater et, en fouillant un peu, je trouve des informations pour le moins sensibles. Environ 2 Go de données en tout. Après coup, je n’ai pas manqué de signaler le problème à l’équipe technique.

C’est à ce moment précis que je me dis que comme le bâtiment comporte plusieurs étages, le réseau doit être conçu de la même façon. J’essaie donc de me connecter via RDP sur la même adresse en ne changeant que le numéro d’étage à chaque fois. Et là, suprise total, ça a marché !!

Après cela, je lance un script pour récupérer les hashes NTMLv2 pour tenter une escalade des privilèges (la suite logique). Par chance je reçois presque tous les hashes de tous les utilisateurs du domaine. Le truc un peu moins glorieux en revanche, c’est que j’ai fait un peu de bruit dans le réseau: le script a diffusé mon IP sur le PBX utilisé par le personnel directement depuis leurs machines et non pas depuis un téléphone Cisco externe et c’est comme ça qu’au bout de 5 minutes montre en main, j’ai entendu tout le monde se plaindre que « plus rien ne marchait », même pas les téléphones !

OMG

Malgré toute la panique ambiante, j’ai quand même réussi à faire ma petite escalade des privilèges et à ouvrir sur un poste quelconque un terminal avec les droits administrateurs! Et même s’il est vrai que juste après, j’ai passé un sale quart d’heure en l’aimable compagnie de l’équipe du service informatique, cette petite anecdote a bien fait ma semaine !

Conclusion

En bref, tout ça pour dire qu’il ne suffit malheureusement que d’un serveur d’impression Windows mal protégé pour faire tomber toute la sécurité du SI. Rajoutez à cela un peu de chance (ou de malchance) et vous aurez droit en prime à un chaos sans nom pouvant transformer n’importe quelle journée d’un employé lambda en véritable remake de World War Z ou de n’importe quel autre film d’apocalypse !!

Voili, voilou, j’espère que cette petite histoire vous a plu. N’hésitez pas à la partager à vos amis ou à vos collègues! Je vous dis à très bientôt pour un nouvel article et pourquoi pas une nouvelle histoire 🤠

D’ici là, portez-vous bien, soyez aimables avec les lamas et à bientôt tout le monde !