Kerberos için HTTP’yi aktaran, çok noktaya yayın zehirlenmesinden yararlanan çığır açan bir teknik, son zamanlarda siber güvenlik araştırmacıları tarafından detaylandırılmıştır.
James Forshaw tarafından tanıtılan ve yanıtlayıcı ve Krbrelayx Tools kullanılarak daha da geliştirilen bu yaklaşım, önceden onaylanmış Kerberos röle saldırıları elde etmek için LLMNR (Link-Local Çok Noktaya Name Çözümü) gibi yerel isim çözünürlük protokollerinden yararlanır.
Bu yöntem, NTLM rölelerinin büyük ölçüde hafifletildiği sertleştirilmiş Active Directory ortamlarında yeni bir saldırı yolu sağlar.
Bu yeni vektör, bazı HTTP müşterilerinin Kerberos kimlik doğrulaması sırasında hizmet ana adlarını (SPN’ler) nasıl elde ettikleri konusunda önemli bir zayıflığı hedeflemektedir.
Kerberos gibi yerleşik yöntemlerin aksine, DNS veya SMB üzerinde aktarılan bu çok noktaya yayın tabanlı teknik, kurumsal ağlarda yetkisiz ayrıcalık artışı için yeni bir boyut getirir.
HTTP Kerberos Röleleri için LLMNR’den yararlanıyor
Bu saldırının çekirdeği, DNS yanıtlarına dayalı Kerberos kimlik doğrulaması için SPN’ler oluşturan tarayıcılar ve WebDAV istemcileri gibi HTTP istemcilerinin davranışlarından yararlanır.
LLMNR yanıtlarını manipüle ederek, saldırganlar istemci kimlik doğrulama isteklerini kötü amaçlı sunuculara yönlendirebilir ve kimlik doğrulama girişimlerini hedef sistemlere yönlendirebilir.
Saldırı aşağıdaki gibi ilerliyor: Bir saldırgan, yerel çok noktaya yayın aralığında yanıtlayıcı gibi bir LLMNR zehirleyicisi kurar.
Bir kurban HTTP istemcisi bir ana bilgisayar adını çözemediğinde, saldırgan sahte bir LLMNR yanıtı ile yanıt verir ve istemciyi bir hedef hizmet için (örn. HTTP sunucusu) bir hizmet bileti (ST) istemeye kandırır.
Müşterinin AP-Req (Kimlik Doğrulama Protokolü İsteği), Krbrelayx gibi araçlar kullanılarak saldırgan tarafından yakalanır ve aktarılır ve potansiyel olarak ayrıcalık artışına veya sertifika edinimine yol açar.
Araştırmacılar, bu saldırıyı LLMNR cevap adlarını değiştirmek için yanıtlayıcı kullanarak ve kimlik doğrulama denemelerini aktarmak için Krbrelayx’i başarıyla uyguladılar.
Örneğin, bir gösteri sırasında bir saldırgan, bir Active Directory Sertifika Hizmetleri (ADCS) Web Kayıt uç noktasına yetkisiz erişim elde etmek için bu yöntemi kullandı.
Yenilikçi olsa da, bu saldırının dikkate değer sınırlamaları vardır.
Kurbanın ve saldırganın aynı çok noktaya yayın aralığında bulunmasını gerektirir ve ağ içinde etkinleştirilmesine dayanır.
MDNS veya NBT-NS gibi protokoller, sorgu ve yanıt bilgilerini etkili bir şekilde hizalayamamaları nedeniyle benzer şekilde kullanılamaz.
Bu tür saldırıları önlemek için savunma önlemleri basittir.
İşletmeler, LLMNR ve diğer gereksiz yerel isim çözünürlük protokollerini ortamlarında devre dışı bırakmalıdır.
Ayrıca, Kerberos özellikli hizmetler, özellikle HTTP uç noktaları için karşılıklı kimlik doğrulama ve bütünlük korumalarının uygulanması bu tür tehditleri önemli ölçüde azaltabilir.
HTTP hizmetleri için TLS’yi etkinleştirme ve kimlik doğrulama için genişletilmiş koruma (EPA) şiddetle tavsiye edilir.
Active Directory güvenliği için çıkarımlar
Bu yeni yöntem, yerel isim çözünürlük zehirlenmesi gibi geleneksel saldırı yüzeylerinin, Kerberos kimlik doğrulama mekanizmalarından yararlanmak için modern saldırı araçlarıyla nasıl yeniden yerleştirilebileceğini göstermektedir.
Eski teknikleri gelişmiş aktarma stratejileri ile birleştirerek, saldırganlar potansiyel olarak bir alanda ilk dayanakları kazanabilir veya ayrıcalıkları artırabilir.
Kuruluşlar, Kerberos gibi HTTP üzerinden akan tehdit vektörlerini ele almak için uyanık kalmalı ve proaktif güvenlik konfigürasyonlarını benimsemelidir.
Gösterildiği gibi, eski protokoller ve yanlış konfigürasyonlar devam ederse sertleştirilmiş Active Directory ortamları bile tehlikeye atılabilir.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene