在上个月发表文章中,我们详细介绍了无约束委派方面的安全问题;在本文中,我们将讨论另一种类型的Kerberos委派:基于资源的约束委派。需要说明的是,本文的内容以Elad Shamir发表的关于Kerberos的相关研究为基础,并结合了我们自己的NTLM研究,提出了一种新型的攻击技术:如果我们与攻击对象位于同一网段中,无需任何凭据,就可以在活动目录中的任意Windows计算机上以SYSTEM权限执行代码。实际上,这只是滥用活动目录不安全的默认配置的另一个示例,并没有利用任何新型的漏洞。
攻击过程概述
如果攻击者位于本地网络中,无论是物理上还是通过受感染的工作站连接至本地网络,只要网络中尚未使用IPv6协议,他们就可以利用mitm6接管DNS系统。执行该攻击时,还可以通过伪造WPAD位置并请求身份验证来使用恶意代理,这样,攻击者就可以通过HTTP完成计算机帐户和用户的身份验证了。关于这种攻击手法,去年我曾在一篇文章中给出了详细的介绍。
我们可以借助于ntlmrelayx将相关的NTLM身份验证数据中继到LDAP(除非应用了相应的防御措施),并以受攻击的计算机帐户的身份进行相关的身份验证。对于该计算机帐户来说,我们可以通过LDAP修改其中的某些属性,其中包括 msDS-AllowedToActOnBehalfOfOtherIdentity属性。该属性用于控制哪些用户可以通过Kerberos模拟来获取活动目录中的任意帐户的身份。这个概念称为基于资源的约束委托,Elad Shamir和Harmj0y对此专门进行了详细的描述。因此,在中继计算机帐户时,可以使其变身为活动目录中的帐户,并授予自己模拟该计算机上的用户的权限。然后,我们就能够以具有高权限的用户的身份连接到相关的计算机,并执行代码、转储哈希值,等等。这种攻击的优点是,它能在默认配置下进行,并且不需要任何活动目录相关的凭据。
没有凭据,就不会出现这类安全问题
对于已经读过Elad的博客的读者来说,很可能已经注意到,为了发动S4U2Proxy攻击,需要先控制相应的计算机帐户(或任何其他具有Service Principal Name的帐户)。默认情况下,活动目录中的任何用户最多可以创建10个计算机帐户。有趣的是,这一限制对用户帐户无效,而且可以通过现有的计算机帐户来完成! 如果可以让任何用户或计算机通过NTLM中继,则可以使用ntlmrelayx来创建计算机帐户:
在这里,我们需要通过TLS中继到LDAP,因为系统禁止通过未加密的连接来创建帐户。这些计算机帐户凭证可用于完成活动目录中的各项事务,例如查询域信息甚至运行BloodHound:
中继和配置委派
下面,让我们进入攻击阶段。首先,我们需要启动mitm6来接管目标系统上的DNS服务,就这里来说,目标就是ICORP-W10(一个已打全补丁的默认Windows 10系统),同时,我们的攻击将仅限于该主机:
sudo mitm6 -hw icorp-w10 -d internal.corp --ignore-nofqnd
需要注意的是,该主机通过DHCPv6请求IPv6地址,或者开始请求WPAD配置的时候,通常需要花费一点时间。所以,对于我们来说,最好的攻击时机是受害者重新启动或重新插入网络电缆的时候,因此,清晨可能是执行该攻击的最佳时间。无论如何,您都必须要有耐心。然后,我们还需要借助–delegate-access参数来启动ntlmrelayx,以发动这种委派攻击,同时,还需使用-wh attacker-wpad参数,以发动WPAD欺骗,进而发送身份验证请求:
ntlmrelayx.py -t ldaps://icorp-dc.internal.corp -wh attacker-wpad --delegate-access
稍后,通过运行mitm6就会看到,受害者将作为我们为WPAD主机设置的DNS服务器上线:
我们看到,ntlmrelayx会接收连接,创建一个新的计算机帐户,并授予它针对受害计算机的委派权限:
接下来,我们可以使用来自impacket的getST.py脚本,完成所有S4U2Self和S4U2Proxy方面的相关操作。您需要从这里获得最新版本的impacket,以支持基于资源的委派。在这个示例中,我们将模拟用户admin,该用户是Domain Admins组的成员,因此,在ICORP-W10上具有相应的管理访问权限:
现在,我们为用户admin获取了相应的Kerberos服务票据,该票据是对cifs/icorp-w10.internal.corp有效的。这只允许我们将该用户模拟为特定主机,而无法模拟网络中的其他主机。借助于该票据,我们就可以在目标主机上执行任何操作了,例如,使用secretsdump转储哈希值:
这样的话,攻击者就可以完全控制受害者的工作站了。
其他滥用途径
在本文中,我们重点介绍了如何使用mitm6和WPAD执行完全无需借助任何凭证的中继攻击。实际上,通过HTTP连接到被Windows视为内网主机的任何连接,都可以达到同样的目的(前提是启用了Intranet自动检测)。Elad曾在其博客中详细如何使用WebDAV在主机上利用此漏洞。另一个攻击途径是借助PrivExchange,因为它会让Exchange以SYSTEM身份进行认证,除非安装了最新的修补程序。
相关工具
NtlmRelayx的更新版本可以从这里下载;一旦这个分支合并到主存储库中,我将更新本文。
缓解措施
由于该攻击涉及到多个组件,因此,我们可以采用多种缓解措施。
针对mitm6的防御措施
我们都知道,即使在纯IPv4的环境中,mitm6也能滥用Windows来查询IPv6地址。如果组织内部没有使用IPv6的话,则防御mitm6滥用的最佳方法是通过Windows防火墙的组策略阻止DHCPv6流量和传入路由器广告。不过,完全禁用IPv6可能会产生不必要的副作用。将以下预定义规则设置为“Block”而不是“Allow”,就能防御这种攻击:
(Inbound) Core Networking – Dynamic Host Configuration Protocol for IPv6(DHCPV6-In)
(Inbound) Core Networking – Router Advertisement (ICMPv6-In)
(Outbound) Core Networking – Dynamic Host Configuration Protocol for IPv6(DHCPV6-Out)
针对WPAD滥用的防御措施
如果公司内部没有使用WPAD,请通过组策略禁用它,并禁用WinHttpAutoProxySvc服务。关于mitm6的缓解和检测措施的深入讲解,请参阅这篇文章。
针对LDAP中继的防御措施
只能通过启用LDAP签名和LDAP通道绑定来缓解针对LDAP和LDAPS的中继。
针对基于资源的委托滥用
这方面难度较大,因为它是一个合法的Kerberos概念。不过,我们可以通过将Administrative用户添加到Protected Users组或将其标记为帐户敏感且无法委派来减少攻击面,从而阻止通过委派来模拟该用户。关于基于资源的委托滥用的缓解和检测方法的详细介绍,请参阅这里。
作者:fanyeee 原文地址:https://www.4hou.com/technology/16626.html