maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/windows-hardening/active-directory-methodology/ad-information-in-printers.md

105 lines
6.7 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Informations dans les imprimantes
{{#include ../../banners/hacktricks-training.md}}
Il existe plusieurs blogs sur Internet qui **mettent en évidence les dangers de laisser les imprimantes configurées avec LDAP avec des** identifiants de connexion par défaut/faibles. \
C'est parce qu'un attaquant pourrait **tromper l'imprimante pour s'authentifier contre un serveur LDAP malveillant** (typiquement un `nc -vv -l -p 389` ou `slapd -d 2` suffit) et capturer les **identifiants de l'imprimante en clair**.
De plus, plusieurs imprimantes contiendront **des journaux avec des noms d'utilisateur** ou pourraient même être capables de **télécharger tous les noms d'utilisateur** du contrôleur de domaine.
Toutes ces **informations sensibles** et le **manque de sécurité** commun rendent les imprimantes très intéressantes pour les attaquants.
Quelques blogs d'introduction sur le sujet :
- [https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/](https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/)
- [https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856](https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856)
---
## Configuration de l'imprimante
- **Emplacement** : La liste des serveurs LDAP se trouve généralement dans l'interface web (par exemple *Réseau ➜ Paramètre LDAP ➜ Configuration de LDAP*).
- **Comportement** : De nombreux serveurs web intégrés permettent des modifications du serveur LDAP **sans ressaisir les identifiants** (fonctionnalité d'utilisabilité → risque de sécurité).
- **Exploitation** : Redirigez l'adresse du serveur LDAP vers un hôte contrôlé par l'attaquant et utilisez le bouton *Tester la connexion* / *Synchronisation du carnet d'adresses* pour forcer l'imprimante à se lier à vous.
---
## Capture des identifiants
### Méthode 1 Écouteur Netcat
```bash
sudo nc -k -v -l -p 389 # LDAPS → 636 (or 3269)
```
Les petits anciens MFP peuvent envoyer un simple *simple-bind* en texte clair que netcat peut capturer. Les appareils modernes effectuent généralement d'abord une requête anonyme, puis tentent le bind, donc les résultats varient.
### Méthode 2 Serveur LDAP rogue complet (recommandé)
Parce que de nombreux appareils effectueront une recherche anonyme *avant* de s'authentifier, mettre en place un véritable démon LDAP donne des résultats beaucoup plus fiables :
```bash
# Debian/Ubuntu example
sudo apt install slapd ldap-utils
sudo dpkg-reconfigure slapd # set any base-DN it will not be validated
# run slapd in foreground / debug 2
slapd -d 2 -h "ldap:///" # only LDAP, no LDAPS
```
Lorsque l'imprimante effectue sa recherche, vous verrez les identifiants en texte clair dans la sortie de débogage.
> 💡 Vous pouvez également utiliser `impacket/examples/ldapd.py` (Python rogue LDAP) ou `Responder -w -r -f` pour récolter des hachages NTLMv2 via LDAP/SMB.
---
## Vulnérabilités Pass-Back Récentes (2024-2025)
Le pass-back n'est *pas* un problème théorique les fournisseurs continuent de publier des avis en 2024/2025 qui décrivent exactement cette classe d'attaques.
### Xerox VersaLink CVE-2024-12510 & CVE-2024-12511
Le firmware ≤ 57.69.91 des MFP Xerox VersaLink C70xx a permis à un administrateur authentifié (ou à quiconque lorsque les identifiants par défaut restent) de :
* **CVE-2024-12510 LDAP pass-back** : changer l'adresse du serveur LDAP et déclencher une recherche, provoquant la fuite des identifiants Windows configurés vers l'hôte contrôlé par l'attaquant.
* **CVE-2024-12511 SMB/FTP pass-back** : problème identique via des destinations *scan-to-folder*, fuyant des identifiants NetNTLMv2 ou FTP en texte clair.
Un simple écouteur tel que :
```bash
sudo nc -k -v -l -p 389 # capture LDAP bind
```
ou un serveur SMB malveillant (`impacket-smbserver`) suffit à récolter les identifiants.
### Canon imageRUNNER / imageCLASS Avis 20 mai 2025
Canon a confirmé une faiblesse de **pass-back SMTP/LDAP** dans des dizaines de lignes de produits Laser et MFP. Un attaquant ayant un accès administrateur peut modifier la configuration du serveur et récupérer les identifiants stockés pour LDAP **ou** SMTP (de nombreuses organisations utilisent un compte privilégié pour permettre le scan vers le mail).
Les recommandations du fournisseur indiquent explicitement :
1. Mettre à jour le firmware corrigé dès qu'il est disponible.
2. Utiliser des mots de passe administratifs forts et uniques.
3. Éviter les comptes AD privilégiés pour l'intégration des imprimantes.
---
## Outils d'énumération / exploitation automatisés
| Outil | Objectif | Exemple |
|------|---------|---------|
| **PRET** (Printer Exploitation Toolkit) | Abus de PostScript/PJL/PCL, accès au système de fichiers, vérification des identifiants par défaut, *découverte SNMP* | `python pret.py 192.168.1.50 pjl` |
| **Praeda** | Récolter la configuration (y compris les annuaires et les identifiants LDAP) via HTTP/HTTPS | `perl praeda.pl -t 192.168.1.50` |
| **Responder / ntlmrelayx** | Capturer et relayer les hachages NetNTLM depuis le pass-back SMB/FTP | `responder -I eth0 -wrf` |
| **impacket-ldapd.py** | Service LDAP malveillant léger pour recevoir des liaisons en texte clair | `python ldapd.py -debug` |
---
## Renforcement et détection
1. **Patch / mise à jour du firmware** des MFP rapidement (vérifiez les bulletins PSIRT du fournisseur).
2. **Comptes de service à privilège minimal** ne jamais utiliser Domain Admin pour LDAP/SMB/SMTP ; restreindre aux portées OU *en lecture seule*.
3. **Restreindre l'accès à la gestion** placer les interfaces web/IPP/SNMP des imprimantes dans un VLAN de gestion ou derrière un ACL/VPN.
4. **Désactiver les protocoles inutilisés** FTP, Telnet, raw-9100, anciens chiffrements SSL.
5. **Activer la journalisation des audits** certains appareils peuvent syslog les échecs LDAP/SMTP ; corréler les liaisons inattendues.
6. **Surveiller les liaisons LDAP en texte clair** provenant de sources inhabituelles (les imprimantes ne devraient normalement parler qu'aux DC).
7. **SNMPv3 ou désactiver SNMP** la communauté `public` fuit souvent la configuration des appareils et LDAP.
---
## Références
- [https://grimhacker.com/2018/03/09/just-a-printer/](https://grimhacker.com/2018/03/09/just-a-printer/)
- Rapid7. “Vulnérabilités d'attaque pass-back de Xerox VersaLink C7025 MFP.” Février 2025.
- Canon PSIRT. “Atténuation des vulnérabilités contre le pass-back SMTP/LDAP pour les imprimantes laser et les multifonctions de petit bureau.” Mai 2025.
{{#include ../../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink