Os pesquisadores de segurança cibernética estão destacando uma técnica de ataque perigosa que combina a configuração desonesta do IPv6 com o revezamento da credencial do NTLM para obter um compromisso completo do domínio do diretório ativo, explorando as configurações padrão do Windows de que a maioria das organizações deixa inalterada.
Ataque aproveita o comportamento padrão do Windows IPv6
O ataque de relé MITM6 + NTLM explora as solicitações automáticas DHCPV6 da Windows Systems, mesmo em redes que não usam ativamente o IPv6.
Empresa de segurança ressecurity srecently detalhado Como os atacantes podem se posicionar como servidores DHCP IPv6 desonestos, interceptar comunicações de rede e redirecionar consultas DNS para servidores maliciosos.
A técnica se torna particularmente devastadora quando combinada com ataques de relé NTLM usando ferramentas como o ntlmrelayx da estrutura de impacket.
Ao falsificar os serviços do Proxy Auto-Discovery Proxy (WPAD) e retransmitir tentativas de autenticação, os invasores podem capturar credenciais e escalar privilégios em redes corporativas.
A eficácia do ataque deriva de três configurações padrão críticas do Active Directory que as organizações geralmente ignoram.
Primeiro, as máquinas Windows priorizam o DHCPV6 sobre o DHCPV4 durante a inicialização da rede, criando um vetor de ataque imediato.
Segundo, qualquer usuário de domínio autenticado pode adicionar até dez contas de máquinas sem privilégios especiais através do atributo MS-DS-MachineAccountquota.
Terceiro, as contas de computador podem modificar seu próprio atributo MSDS-ALL ALLACTONACTONBEHALFOFOTHERIDIDIentity, permitindo o abuso de delegação restrita baseada em recursos (RBCD).
Esses padrões aparentemente benignos criam uma tempestade perfeita para a escalada de privilégios. Uma vez que os invasores controlam uma conta da máquina, eles podem configurar o RBCD para se passar por contas privilegiadas, incluindo Administradores de domínioem última análise, ganhando controle completo sobre toda a infraestrutura de domínio.
O ataque segue uma abordagem sistemática. Os invasores primeiro se estabelecem como servidores DHCPV6 falsos usando o MITM6 e, em seguida, retransceptaram as tentativas de autenticação para os serviços LDAP.
Esse processo cria automaticamente contas maliciosas de computador com recursos de representação.
Posteriormente, ferramentas como o Secretsdump.py extraem hashes de senha de sistemas comprometidos, enquanto os testes de crackmapexec roubam credenciais roubadas em intervalos de rede inteiros para identificar hosts acessíveis.
O estágio final envolve o uso de credenciais extraídas com ferramentas como WMIEXEC ou PSEXEC para obter controle remoto do sistema, permitindo o movimento lateral e o acesso persistente em toda a rede comprometida.
Especialistas em segurança alertam que os ataques bem -sucedidos de relé MITM6 + NTLM resultam em consequências catastróficas. Além do compromisso imediato do domínio, as organizações enfrentam roubo de credenciais, movimento lateral generalizado e potencial implantação de ransomware.
O ataque pode interromper os serviços essenciais através Envenenamento por DNS enquanto fornece aos atacantes acesso persistente mesmo após a descoberta de pontos de entrada iniciais.
Os profissionais de segurança cibernética recomendam medidas defensivas imediatas, incluindo a desativação do IPv6 se não utilizadas, implementando a assinatura do LDAP e a ligação do canal e restilizando os privilégios de criação de contas da máquina.
As organizações também devem monitorar atividades suspeitas do DHCP e implementar a segmentação da rede para limitar o potencial de movimento lateral.
A dependência do ataque nas configurações padrão ressalta a importância crítica do endurecimento da segurança em ambientes corporativos.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!