
Tam Active Directory etki alanı uzlaşmasını elde etmek için MITM6’yı NTLM rölesi teknikleriyle birleştiren sofistike bir saldırı zinciri.
Saldırı, Windows’un varsayılan IPv6 otomatik konfigürasyon davranışından yararlanır ve saldırganların birkaç dakika içinde alan adlı yönetici ayrıcalıklarına ağ erişiminden yükselmesine izin verir.
Key Takeaways
1. Abuses Windows IPv6 auto-config and AD's 10-machine account quota for domain compromise.
2. Uses mitm6 + ntlmrelayx to create malicious accounts with RBCD to reach Domain Admin quickly.
3. Fix: Disable IPv6, set ms-DS-MachineAccountQuota = 0, enable signing, deploy DHCPv6 Guard.
Bu teknik, kötü amaçlı yazılım veya sıfır gün istismarları gerektiren yerleşik protokollerden yararlandığı için standart pencere ortamlarını çalıştıran kuruluşlar için önemli riskler oluşturmaktadır.
IPv6 Otomatik Düzenleme Saldırısı
Resculity, MITM6 saldırısının temel bir Windows davranışını hedeflediğini bildirir: Sistemler önyükleme veya ağlara bağlandığında otomatik DHCPV6 istekleri.
IPv6’yı aktif olarak kullanmayan kuruluşlarda bile, Windows makineleri IPv6 yapılandırmasına öncelik verir ve kullanılabilir bir saldırı yüzeyi oluşturur.
Saldırganlar, MITM6 aracını, bu isteklere yanıt veren ve kurban makinelerine kötü amaçlı DNS sunucusu adresleri atayarak haydut bir DHCPV6 sunucusu olarak hareket etmek için dağıtıyorlar.
Sudo MITM6 -D Target.local –No -RA komutu, saldırganı hedef etki alanı için yetkili DNS sunucusu olarak oluşturur.
Saldırı zinciri, WPAD (Web Proxy Otomatik Keşif Protokolü) sahtekarlığı yoluyla NTLM kimlik doğrulama girişimlerini engelleyen Impacket Toolkit’ten NTLMRelayx ile devam eder.
Araç yürütür: sudo Impacket -ntlmrelayx -ts -6 -t ldaps: //target.local -wh fuewpad –Add -Computer –Delegate -Access, kötü niyetli bilgisayar hesapları oluşturma ve kaynak tabanlı kısıtlı heyeti (RBCD) yapılandırır.
Active Directory’nin varsayılan MS-DS-MachineAccountQuota ayarı, herhangi bir kimlik doğrulamalı kullanıcının 10 adet makine hesabı eklemesine izin vererek saldırganların kontrollü bilgisayar nesneleri oluşturmasını sağlar.
Bu hesaplar daha sonra MSDS-Leteredtoactonbehalfofotherdendentity özniteliğini değiştirerek etki alanı yöneticileri de dahil olmak üzere ayrıcalıklı hesapların taklit edilmesine izin verebilir.
Öneriler
Saldırının etkisi ilk ağ uzlaşmasının çok ötesine uzanıyor. Başarılı olduktan sonra, saldırganlar SecretsDump.py “Target.local/User:[email protected]”Ve CrackMapexec gibi araçlarla yanal hareket yapın: CrackMapexec SMB 10.0.0.1/8 -U Yönetici -H 1F937B21E2E0ADA0D3D3F7CF58C8AADE -SHARE.
Kuruluşlar, tam alan uzlaşması, kimlik bilgisi hırsızlığı, hizmet kesintisi ve potansiyel veriler de dahil olmak üzere ciddi sonuçlarla karşı karşıyadır.
Saldırının gizli doğası, meşru pencereler protokollerini kötüye kullandığı için tespiti zorlaştırıyor.
Kritik azaltma stratejileri, gerektiğinde IPv6’nın devre dışı bırakılmasını, MS-DS-MachineAccountquota = 0’ın yetkisiz bilgisayar hesabı oluşturulmasını önlemek için ayarlama ve röle saldırılarını önlemek için KOBİ ve LDAP imzalamasını zorunlu kılmayı içerir.
Ağ düzeyinde savunmalar, yetkisiz IPv6 reklamlarını engellemek için anahtarlara ve yönlendiricilere DHCPV6 korumasını uygulamalıdır.
Bu saldırı, varsayılan konfigürasyonların nasıl önemli güvenlik açıkları yaratabileceğini, Active Directory ortamlarının proaktif sertleştirilmesi ve haydut ağ hizmetleri için sürekli izleme ihtiyacını vurgulayabileceğini göstermektedir.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →