Реінкарнація NTLM-relay або як стати адміністратором домену за 1 хвилину

    Даний пост є логічним продовженням досліджень, розпочатих в тиц і тиц .
 
У першому пості я писав про старому доброму SMB Relay в контексті сучасних умов експлуатації.
Другий пост торкався нову техніку під назвою SMB Hijacking за допомогою якої можна виконати код навіть якщо виходить SMB сесія використовує Kerberos.
 
Цього разу мова піде про чергову техніці, в основі якої лежить класичний NTLM Relay.
 
Нічого принципово нового в ній немає, вона відрізняється від SMB Relay тільки сервісом на який проводиться перенаправлення даних, але за силою впливу ця техніка неймовірно перевершує свого прародителя.
 
Як ви пам'ятаєте, в доменній мережі контролер захищений від SMB Relay досить простим і ефективним механізмом під назвою SMB Signing, тому перенаправлення на DC в якості third-party host неможливо. Проблема в тому, що одна з центральних систем домену Active Directory, яка зовні виглядає як LDAP сервер, по-замовчуванням не вимагає обов'язкової підпису пакетів при віддаленому мережевому взаємодії! М'яко кажучи це досить відвертий бекдор в системі, надісланий з незрозумілої причини. Або це зроблено навмисно для зворотної сумісності, або співробітники Microsoft порахували, що раз немає робочих експлойтів, то немає і приводу для занепокоєння.
 
Відсутність інструментів для проведення NTLM релея на LDAP (Active Directory) теж не зовсім зрозуміло. Вектор досить очевидний, але висвітлений вкрай бідно, можливо дослідники просто не могли подумати, що контролер домену може бути настільки беззахисним в конфігурації за замовчуванням.
 
У 2012 році на конференції Blackhat якийсь Zack Fasel представив свій інструмент під назвою ZackAttack. Серед заявленого функціоналу значився і релей на LDAP. Незважаючи на досить сиру, але місцями робочу реалізацію, головною заслугою Zack'а, особисто для мене, стало не створення інструменту, а саме згадка про відсутність обов'язкової підпису пакетів при роботі з Active Directory. Минуло досить багато часу, перш ніж у мене дійшли руки зайнятися цією темою, але це сталося і робоча реалізація атаки з'явилася в Intercepter-NG.
 
Для проведення атаки потрібно одне єдина умова: необхідно знати за яким комп'ютером в даний момент працює діючий адміністратор домену. Атакуючому навіть необов'язково бути членом домену, досить просто підключитися до мережі. Як і у випадку інших атак, для прискорення дій в трафік атакується Інжект посилання на псевдо-веб службу Intercepter'а, яка зажадає NTLM авторизацію. Під час web-серфа атакується автоматично і непомітно для себе відправить аутентифікаційні дані, які потім будуть перенаправлені на Active Directory. В результаті атаки буде створено новий користувач з правами Domain Admins.
 
Атака успішно протестована на серверних ОС Windows 2003 і 2008R2, але так само повинна працювати і на Windows 2012, тому що політика «Domain controller: LDAP server signing requirements» аналогічним чином встановлена ​​в none по-замовчуванням.
 
  
Самостійно випробувати проведення атаки можна буде з виходом нової версії Intercepter-NG, який запланований на осінь.
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.