Référence des ports
Port 9389 (TCP) – Services Web Active Directory (ADWS)
ADWS — l'interface de service web SOAP que le module AD PowerShell et les outils d'administration utilisent pour interroger et gérer Active Directory.
État par défaut
Ouvert sur les contrôleurs de domaine Windows exécutant le rôle Active Directory Web Services, activé par défaut depuis Windows Server 2008 R2.
Attaques courantes
- Énumération furtive de l'annuaire via SOAPHound pour échapper aux détections LDAP
- Reconnaissance avec le module AD PowerShell (applets Get-AD*)
- Découverte des privilèges et ACL pour la cartographie de chemins d'attaque
- Abus des opérations d'écriture administratives après vol d'identifiants
Durcissement
- Restreindre le TCP 9389 aux hôtes de rebond d'administration et réseaux d'admin segmentés
- Surveiller les requêtes ADWS/SOAP comme on surveille l'énumération LDAP
- Appliquer le moindre privilège pour empêcher l'énumération large par les comptes peu privilégiés
- Maintenir les contrôleurs de domaine à jour et auditer l'outillage de gestion AD
- Alerter sur les schémas de requête de type SOAPHound et les lectures d'objets massives
Commande nmap
nmap -p9389 --script banner <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Ce qui s'exécute sur le port 9389
Le port 9389 transporte Active Directory Web Services (ADWS), un service web
basé sur SOAP que les contrôleurs de domaine exposent pour les requêtes et la
gestion d'AD. C'est le canal derrière le module Active Directory PowerShell
(Get-ADUser, Get-ADGroup et les autres) et des outils comme le Centre
d'administration Active Directory. Activé par défaut depuis Windows Server 2008
R2, ADWS expose les mêmes informations d'annuaire disponibles via LDAP sur 389,
simplement à travers un protocole différent.
Pourquoi c'est important pour la sécurité
Parce qu'ADWS atteint les mêmes données d'annuaire que LDAP mais via SOAP, il offre aux attaquants une voie alternative et plus discrète pour la reconnaissance. De nombreuses règles de détection se concentrent sur le trafic LDAP brut et manquent les requêtes équivalentes arrivant sur le 9389. Un attaquant avec un simple point d'ancrage dans le domaine peut énumérer utilisateurs, groupes, ACL et relations de privilèges pour planifier une élévation, et avec des identifiants d'administration volés, piloter des opérations d'écriture de gestion via la même interface.
Comment il est attaqué
L'outil SOAPHound interroge ADWS pour énumérer Active Directory tout en échappant aux détections basées sur LDAP — collectant les mêmes données que BloodHound consomme mais via SOAP. Les attaquants utilisent aussi le module AD PowerShell intégré pour une reconnaissance interactive, cartographiant privilèges et ACL, puis abusent des applets administratives une fois des droits suffisants obtenus.
Liste de durcissement
Restreignez le TCP 9389 aux hôtes de rebond d'administration et réseaux d'admin segmentés afin qu'il ne soit pas largement joignable. Surveillez les requêtes ADWS/SOAP au même titre que l'énumération LDAP pour que la voie alternative ne soit pas un angle mort, et guettez les lectures massives de type SOAPHound. Appliquez le moindre privilège pour empêcher les comptes peu privilégiés d'énumérer largement l'annuaire, maintenez les contrôleurs de domaine à jour et auditez l'outillage de gestion AD. La vérification de bannière nmap ci-dessus confirme l'exposition sur les hôtes que vous êtes autorisé à tester. </content>
Ports liés
Questions fréquentes
- À quoi sert le port 9389 ?
- Le port 9389 est Active Directory Web Services (ADWS), l'interface SOAP que le module Active Directory PowerShell et des outils comme ADAC utilisent pour interroger et gérer AD sur un contrôleur de domaine.
- Pourquoi les attaquants apprécient-ils ADWS ?
- ADWS offre les mêmes données d'annuaire que LDAP mais via SOAP. Des outils comme SOAPHound l'utilisent pour énumérer AD tout en échappant aux détections axées sur LDAP sur lesquelles s'appuient beaucoup de défenseurs.