Реинкарнация на NTLM-реле или как да станете администратор на домейн за 1 минута
Тази публикация е логично продължение на изследванията, започнати в tyts и tyts.
В първия пост писах за доброто старо реле SMB в контекста на съвременните условия на работа. Втората публикация засегна нова техника, наречена SMB Hijacking, която ви позволява да изпълнявате код, дори ако изходящата SMB сесия използва Kerberos.
Този път ще говорим за друга техника, базирана на класическото NTLM Relay. В него няма нищо принципно ново, той се различава от SMB Relay само в услугата, към която се пренасочват данните, но тази техника невъобразимо надминава своя прародител по отношение на силата на удара.
Както си спомняте, в домейн мрежа контролерът е защитен от SMB Relay чрез доста прост и ефективен механизъм, наречен SMB Signing, така че пренасочването към DC като хост на трета страна е невъзможно. Проблемът е, че една от централните системи на домейна на Active Directory, която отвън изглежда като LDAP сървър, по подразбиране не изисква задължително подписване на пакети за отдалечено взаимодействие в мрежата! Меко казано, това е доста откровена задна врата в системата, оставена по неизвестна причина. Или това е направено умишлено за обратна съвместимост, или служителите на Microsoft смятат, че тъй като няма работещи експлойти, няма причина за безпокойство.
Липсата на инструменти за препредаване на NTLM върху LDAP (Active Directory) също не е напълно ясна. Векторът е доста очевиден, но е изключително слабо покрит, може би изследователите просто не са могли да помислят, че домейн контролерът може да бъде толкова беззащитен в конфигурацията по подразбиране.
През 2012 г. на конференцията Blackhat известен Zack Fasel представи своя инструмент, наречен ZackAttack. Сред декларираната функционалност имаше и реле на LDAP.Въпреки доста грубата, но на места работеща реализация, основната заслуга на Zack, лично за мен, не беше създаването на инструмент, а просто споменаването на липсата на задължително подписване на пакети при работа с Active Directory. Отне доста време преди да се заема с тази тема, но това се случи и работеща реализация на атаката се появи в Intercepter-NG.
Атаката е успешно тествана на сървърни ОС Windows 2003 и 2008R2, но трябва да работи и на Windows 2012, т.к. политиката „Контролер на домейн: Изисквания за подписване на LDAP сървър“ също е зададена на нищо по подразбиране.
Ще бъде възможно да тествате атаката сами с пускането на нова версия на Intercepter-NG, което е насрочено за есента.