Siber güvenlik araştırmacıları, çoğu kuruluşun değişmeden bıraktığı varsayılan Windows yapılandırmalarından yararlanarak, tam Active Directory Etki Alanı uzlaşmasını elde etmek için haydut IPv6 yapılandırmasını NTLM kimlik bilgisi rölesiyle birleştiren tehlikeli bir saldırı tekniğini vurgulamaktadır.
Saldırı Varsayılan Windows IPv6 davranışından yararlanır
MITM6 + NTLM röle saldırısı, IPv6’yı aktif olarak kullanmayan ağlarda bile Windows Systems’ın otomatik DHCPV6 isteklerini kullanır.
Güvenlik firması Reserliği son zamanlarda saldırganların kendilerini nasıl Rogue IPv6 DHCP sunucuları olarak konumlandırabileceğini, ağ iletişimlerini engelleyebileceğini ve DNS sorgularını kötü amaçlı sunuculara yönlendirebileceğini ayrıntılı olarak anlattı.
Teknik, Impacket Framework’ten NTLMRelayx gibi araçlar kullanılarak NTLM rölesi saldırıları ile birleştirildiğinde özellikle yıkıcı hale gelir.
Saldırganlar, Web Proxy Otomatik Keşif Protokolü (WPAD) hizmetleri ve akrabalık kimlik doğrulama girişimlerini taklit ederek kimlik bilgilerini yakalayabilir ve kurumsal ağlar arasında ayrıcalıkları artırabilir.
Saldırının etkinliği, kuruluşların sıklıkla göz ardı ettiği üç kritik Active Directory varsayılan yapılandırmasından kaynaklanmaktadır.
İlk olarak, Windows makineleri ağ başlatma sırasında DHCPV6’ya DHCPV4 üzerinden öncelik verir ve derhal bir saldırı vektörü oluşturur.
İkincisi, herhangi bir kimlik doğrulamalı etki alanı kullanıcısı, MS-DS-MachineAccountquota özelliği aracılığıyla özel ayrıcalıklar olmadan en fazla on makine hesabı ekleyebilir.
Üçüncüsü, bilgisayar hesapları kendi MSDS-LetsedtoactonbehalfOfotherdendentity özniteliğini değiştirerek kaynak tabanlı kısıtlı delegasyon (RBCD) kötüye kullanımını sağlayabilir.
Bu görünüşte iyi huylu varsayılanlar, ayrıcalık artışı için mükemmel bir fırtına yaratır. Saldırganlar bir makine hesabını kontrol ettikten sonra, etki alanı yöneticileri de dahil olmak üzere ayrıcalıklı hesapları taklit etmek için RBCD’yi yapılandırabilir ve sonuçta tüm etki alanı altyapısı üzerinde tam kontrol elde edebilirler.
Saldırı sistematik bir yaklaşım izliyor. Saldırganlar önce kendilerini MITM6 kullanarak sahte DHCPV6 sunucuları olarak kurarlar, ardından LDAP hizmetlerine yönelik kimlik doğrulama girişimlerini yakaladı.
Bu işlem, kimliğe bürünme özelliklerine sahip kötü amaçlı bilgisayar hesapları oluşturur.
Daha sonra, SecretsDump.py Extract parola, tehlikeye atılan sistemlerden karma gibi araçlar, CrackMapexec, erişilebilir ana bilgisayarları tanımlamak için tüm ağ aralıklarında çalınan kimlik bilgilerini test eder.
Son aşama, uzaktan sistem kontrolü kazanmak için WMIExec veya Psexec gibi araçlarla çıkarılan kimlik bilgilerinin kullanılmasını ve uzlaşmış ağ boyunca yanal hareket ve kalıcı erişimin kullanılmasını içerir.
Güvenlik uzmanları, başarılı MITM6 + NTLM röle saldırılarının felaket sonuçlarıyla sonuçlandığı konusunda uyarıyor. Derhal etki alanı uzlaşmasının ötesinde, kuruluşlar kimlik hırsızlığı, yaygın yanal hareket ve potansiyel fidye yazılımı dağıtımıyla karşı karşıyadır.
Saldırı, ilk giriş noktaları keşfedildikten sonra bile saldırganlara sürekli erişim sağlarken, DNS zehirlenmesi yoluyla temel hizmetleri bozabilir.
Siber güvenlik uzmanları, kullanılmadıysa IPv6’yı devre dışı bırakma, LDAP imzalama ve kanal bağlama uygulama ve makine hesabı oluşturma ayrıcalıklarını kısıtlama gibi derhal savunma önlemleri önerir.
Kuruluşlar ayrıca şüpheli DHCP faaliyetlerini izlemeli ve yan hareket potansiyelini sınırlamak için ağ segmentasyonunu uygulamalıdır.
Saldırının varsayılan konfigürasyonlara güvenmesi, kurumsal ortamlarda güvenlik sertleşmesinin kritik öneminin altını çizmektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!