Account Locked... compte disable

[mtessier]

Dans les eventvwr de mon domaine controler, je vois des failed authentification

Code: Tout sélectionner

Logon attempt by:   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon account:   veronique_l
Source Workstation:   MAMSERVER
Error Code:   0xC000006A

Le hic, c'est que le compte veronique_l n'est plus utilisé depuis longtemps, et ce même message arrive pour plusieurs de mes compte disable.
en plus, il n'y pas de serveur du nom de MAMSERVER

[mtessier]

Cela semble une attaque de l'extérieur. J'ai analyser les paquet et il y avait beaucoup de tentative de connection erroné ou avec des compte bidon. J'ai mit une règle dans le firewall pour bloquer le IP en question, maintenant je dois corriger la faille.

Les paquets étais tous dirigé vers mon serveur de courriel/controleur de domaine

Le serveur :

Exchange 2003 avec OWA en HTTPS et RPC Over HTTP
Controlleur de Domaine.


Le protocol utilisé pour envoyé les tentative d'authentification : DCERPC

Port : 135


J'imagine que l'attaque dois passé par IIS ? Des idées ?

[kazer]

Déjà essayer de ne plus avoir de DC accessible depuis l'extérieur

[Timil]

T'as pas un compte disable qui a aussi une mailbox et un logiciel de sauvegarde qui tente déséspérement de faire la sauvegarde des dites mailboxes?

[mtessier]

Déjà essayer de ne plus avoir de DC accessible depuis l'extérieur

J'essais chaque joue de ma vie

nte déséspérement de faire la sauvegarde des dites mailboxes?

Advenir que oui, pourquoi il testerais un paquet de compte avec des nom pc qui existe pas ?

[Timil]

Si les comptes de PC n'ont jamais existés, oui, là c'est un vrai problème

[mtessier]

je suis sur que ca vient de l'extérieur puisque je pouvais "lire" MAMSERVER\veronique_l dans les paquet provenant d'une IP externe

Ensuite, ce serveur est OWA, donc avec IIS

Tout mes recherche me dise que MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 est problablement IIS.

Donc, c'est sur qu'il y a une faille, peut-etre une patch ?

[Timil]

Comment ça une faille?

Si une personne tente un assaut en brute force, c'est normal.

As tu mis à niveau ton domaine vers 2003 natif? Sinon anonymous peut lire les noms de comptes AD et donc il ne reste plus qu'à faire du brute force pour trouver les MdP

[mtessier]

Comment ça une faille?

Si une personne tente un assaut en brute force, c'est normal.

As tu mis à niveau ton domaine vers 2003 natif? Sinon anonymous peut lire les noms de comptes AD et donc il ne reste plus qu'à faire du brute force pour trouver les MdP

Quand je parlais de faille, c'était justement dû au fait que je me demandais comment il aurait pu connaitre tout les nom d'utilisateur de mon domaine. Je suis en Windows 2000 Native.

J'aimerais vraiment pouvoir reproduire de chez moi l'attaque afin de mieux me protéger ou juste prouver au dirigeant que c'est dangereux de mettre a exposition un DC a l'externe et aussi de migrer mon DC 2000 vers 2003 (L'autre domaine controleur est en 2000), je sais qu'on entre dans un sujet délicat mais comment je peux connaitre tout les login de l'extérieur ou du moin de la documentation qui prouve que 2003 natif empeche cela.

[Timil]

AD visible de l'extérieur = risque.

Pourquoi? Parce que toute faille non documenté est exploitable directement sur le serveur.

Pour les docs, je n'en ai pas (voir technet)