Napadi NTLM Relay: Zakaj je vase omrezje odprta vrata

Ce bi lahko za vsak interni penetracijski test izbral samo eno napadalno tehniko, bi izbral NTLM relay. Za zacetek ne potrebuje nobenih poverilnic, ustvari minimalen sum in deluje v vec kot 90% okolij, ki jih testiram. Razlog je preprost: vecina organizacij ni uveljavila kontrol podpisovanja in vezave kanalov, ki bi to preprecile.

NTLM relay ni nov napad. Varnostni raziskovalci ga demonstrirajo ze vec kot desetletje. Pa vendar ostaja ena najzanesljivejsih poti do dostopa Domain Admin, ker privzeta konfiguracija Windows puscca vrata siroko odprta.

Kako NTLM Relay dejansko deluje

NTLM overitev je protokol izziv-odgovor. Ko se odjemalec zeli overiti pri strezniku, streznik poslje izziv, odjemalec izracuna odgovor z uporabo zgoscene vrednosti gesla, streznik pa ga potrdi. Kriticna slabost je, da protokol kriptografsko ne veze overitve na doloceno storitev ali kanal.

Kot napadalec na omrezju prestrezemm poskus overitve odjemalca in ga posredujem na drug streznik. Ta streznik misli, da se odjemalec neposredno overja pri njem. Uporabljam orodja kot ntlmrelayx za avtomatizacijo, pri cemer sedim med odjemalcem in izbranim ciljem. Odjemalec se overja, vendar sejo dobim jaz.

Kar to naredi unicujoce, je prisiljevanje. Ni mi treba pasivno cakati, da se overitev zgodi. S tehnikami kot PetitPotam, PrinterBug ali DFSCoerce lahko prisilim naprave -- vkljucno s krmilniki domene -- da se overijo pri mojem gostiteljskem racunalniku. Ko se racun naprave krmilnika domene overja pri meni in to preusmerim na LDAP na drugem DC-ju, lahko neposredno spreminjam objekte Active Directory. Na vec projektih sem se na ta nacin dodal med Domain Admine v manj kot desetih minutah.

Protokoli v nevarnosti

NTLM relay ni omejen na SMB. Redno preusmerjam na vec protokolov, odvisno od tega, kaj je na voljo in katere zahteve po podpisovanju so nastavljene:

• SMB na SMB: Klasicna preusmeritev. Ce na cilju ni zahtevano SMB podpisovanje, preusmerim SMB overitve in dobim oddaljeno izvajanje kode. To privzeto deluje na vecini delovnih postaj.
• SMB na LDAP/LDAPS: Ce LDAP podpisovanje ali vezava kanalov ni uveljavljena, preusmerim na LDAP in spreminjam objekte AD. To je moja prednostna pot, ker mi omogoca, da si podelim kakrsnokoli privilegijo zelim.
• HTTP na LDAP: Spletna NTLM overitev pogosto nima razsirjene zascite za overitev (EPA). Tudi to preusmerim na LDAP.
• SMB na ADCS HTTP vpis: Ce ima Active Directory Certificate Services omogocen spletni vpis brez EPA, preusmerim nanj in zahtevam certifikat kot preusmerjen uporabnik. To je napadna pot ESC8, ki mi zagotovi trajni dostop.

Zaznavanje: kaj spremljati

Zaznavanje NTLM relay zahteva razumevanje, kako izgleda normalen NTLM promet v vasem okolju, ter opazovanje anomalij. Tukaj so specificni indikatorji, za katere svetujem branilcem, naj jih spremljajo:

Najprej spremljajte dogodke NTLM overitve, kjer se ime izvorne delovne postaje ne ujema s povezovalnim IP naslovom. Pri napadu relay metapodatki overitve pravijo, da prihaja iz zrtvine naprave, a omrezna povezava prihaja z napadalcevega IP-ja. Dogodek ID 4624 na ciljnem strezniku vsebuje tako ime delovne postaje kot izvorni omrezni naslov -- ko se ne ujemata, takoj raziskite.

Drugic, spremljajte racune naprav, ki se overjajo pri LDAP ali spletnem vpisu ADCS iz nepricakovanih virov. Krmilniki domene se ne bi smeli overjati pri vasem koncnem tocki spletnega vpisa ADCS. Ce vidite racun naprave DC-ja, ki zahteva certifikat prek HTTP vpisa, ste verjetno pod aktivnim napadom.

Tretjic, spremljajte neobicajne spremembe LDAP, zlasti spremembe atributa msDS-AllowedToActOnBehalfOfOtherIdentity na objektih racunalnikov. Ta atribut je tisti, ki ga spreminjam pri izvajanju napadov delegacije omejene na osnovi virov prek preusmeritve. Dogodek ID 5136 v revizijskem dnevniku sprememb imeniskih storitev te spremembe zabeleži.

Utrjevanje: zapiranje vrat

Odprava za NTLM relay je dobro dokumentirana, a redko v celoti implementirana. Tukaj je celoten kontrolni seznam, ki ga prilagam vsakemu porocilu:

1. Uveljavite SMB podpisovanje na vseh napravah. Konfigurirajte GPO "Microsoft network server: Digitally sign communications (always)" na Omogoceno na vseh streznikih in delovnih postajah. Ja, tudi na delovnih postajah. Vpliv na zmogljivost je na sodobni strojni opremi zanemarljiv.
2. Uveljavite LDAP podpisovanje. Nastavite "Domain controller: LDAP server signing requirements" na "Require signing" na vseh krmilnikih domene. Nastavite tudi politiko na strani odjemalca za zahtevo po podpisovanju.
3. Omogocite vezavo kanalov LDAP. Nastavite registrsko vrednost LdapEnforceChannelBinding na 2 na vseh krmilnikih domene. To preprecuje preusmeritev na LDAPS tudi ko je podpisovanje obvozeno prek TLS.
4. Omogocite EPA na vseh spletnih storitvah. To vkljucuje spletni vpis ADCS, Exchange, SCCM in vsako interno spletno aplikacijo, ki uporablja Windows overitev. EPA veze NTLM overitev na kanal TLS in preprecuje preusmeritev.
5. Onemogocite NTLM, kjer je mogoce. Uporabite skupinsko politiko za omejitev NTLM overitve. Zacnite z revizijo uporabe NTLM s politikami "Restrict NTLM" v revizijskem nacinu, nato postopoma blokirajte. Cilj je Kerberos povsod.

Testiranje vasih obramb

Organizacijam vedno priporocam, da proaktivno preverijo svoje zascite pred NTLM relay. Pozenite PingCastle ali Purple Knight proti svoji domeni -- obe orodji preverjata manjkajoce SMB podpisovanje, LDAP podpisovanje in konfiguracijo vezave kanalov. BloodHound Enterprise lahko prav tako identificira naprave, ki so ranljive za napade relay na osnovi njihove konfiguracije podpisovanja.

Ne predpostavljajte, da so vasi GPO-ji pravilno uveljavljeni. Videl sem mnogo okolij, kjer je bila politika definirana, a ni bila povezana s pravo OU, ali kjer je konfliktna politika na nizji ravni preglasila varnostno nastavitev. S pravo analizo omreznega prometa preverite, da je podpisovanje res uveljavljeno, ne samo konfigurirano.

NTLM relay je s tehnicnega vidika resen problem. Vse kontrole, potrebne za njegovo preprecitev, danes obstajajo in obstajajo ze leta. Edini razlog, da se deluje, je, da organizacije teh kontrol niso uvedle. Ce iz tega clanka naredite eno stvar, uveljavite SMB in LDAP podpisovanje povsod. To je ena sprememba z najvecjim vplivom, ki jo lahko naredite za varnostno drzco svojega AD okolja.