[Poisoning DNS] Resposta DNS a vulnerabilidades de exploração em ambientes Active Directory

Uma nova técnica de retransmissão do Kerberos sobre HTTP foi descoberta, explorando envenenamento por multicast para comprometer ambientes do Active Directory.

A pesquisa, publicada por Quentin Roland, se baseia nos estudos anteriores de James Forshaw e demonstra como invasores podem contornar mecanismos de autenticação usando ferramentas como Responder e krbrelayx.

Antecedentes sobre o retransmissão de Kerberos

A retransmissão do Kerberos ganhou destaque à medida que as organizações reforçam a segurança do Active Directory (AD) e restringem ataques baseados em NTLM. Embora ofereça mecanismos robustos de autenticação, pesquisadores descobriram que o Kerberos ainda é vulnerável a ataques de retransmissão.

Os ataques de retransmissão exploram a solicitação AP-REQ no protocolo Kerberos, permitindo que invasores se passem por usuários autenticados para acessar serviços confidenciais.

Inicialmente, essas técnicas se concentravam na retransmissão via DNS e SMB. Em 2021, James Forshaw sugeriu a possibilidade de retransmissão via HTTP, e esta pesquisa recente apresenta uma implementação prática dessa abordagem.

O novo vetor de ataque: Kerberos translativo sobre HTTP

O ataque mais recente explora o envenenamento de resolução de nomes locais por meio do protocolo LLMNR (Link-Local Multicast Name Resolution). Manipulando respostas DNS, os invasores redirecionam clientes HTTP para servidores maliciosos, induzindo-os a se autenticarem em um destino falsificado.

Como funciona o ataque

  1. Envenenamento LLMNR: O invasor configura um ouvinte para interceptar falhas na resolução DNS dentro do intervalo multicast. Em seguida, envia respostas LLMNR envenenadas, falsificando o nome do serviço alvo, como um servidor PKI.
  2. Autenticação Kerberos: A vítima, ao acessar o serviço falsificado, solicita um ticket de serviço Kerberos (ST) e envia um AP-REQ para o servidor controlado pelo invasor.
  3. Retransmissão do AP-REQ: O atacante então retransmite o AP-REQ interceptado para o serviço legítimo, obtendo acesso não autorizado.

O ataque aproveita versões aprimoradas de ferramentas ofensivas conhecidas. O Responder foi modificado para incluir a opção -N, permitindo definir um nome de resposta arbitrário nas respostas LLMNR. Além disso, o krbrelayx foi atualizado para suportar a retransmissão da autenticação Kerberos via HTTP.

Aplicação Real-World: Explorando a Inscrição Web do ADCS

Os pesquisadores demonstraram como um invasor não autenticado pode retransmitir credenciais Kerberos via HTTP para comprometer um endpoint de Web Enrollment do Active Directory Certificate Services (ADCS). Ao obter um certificado, o atacante estabelece uma posição inicial dentro do domínio.

O ataque possui vantagens e limitações. Sua principal vantagem é não exigir autenticação, permitindo a execução sem credenciais válidas. Além disso, contorna restrições de DNS, sendo eficaz mesmo em ambientes onde a retransmissão de DNS está desativada.

Por outro lado, seu sucesso depende da vítima estar dentro do alcance multicast do atacante, pois o envenenamento LLMNR requer comunicação multicast. Além disso, não pode explorar mDNS ou NBT-NS devido a diferenças nas respostas desses protocolos.

Por fim, ao retransmitir a autenticação Kerberos sobre HTTP, muitos clientes impõem proteções de integridade, limitando a eficácia do ataque a serviços específicos, como ADCS Web Enrollment e SCCM endpoints.

Recomendações de mitigação

As organizações podem proteger seus ambientes:

  • Desativando LLMNR: A maioria das redes não tem necessidade funcional para ele, tornando-se um vetor de ataque comum.
  • A aplicação de proteções anti-retransmissão: Use mecanismos como o TLS com a Proteção Estendida para Autenticação (EPA) em serviços HTTP.
  • Fortalecimento da segmentação de rede: limite o tráfego multicast e reduza a exposição a potenciais atacantes dentro do mesmo intervalo.

Esse novo método de ataque demonstra como vulnerabilidades tradicionais, como o envenenamento por multicast, podem ser combinadas com técnicas avançadas para contornar medidas de segurança reforçadas.

Ao retransmitir autenticações Kerberos via HTTP, invasores podem obter movimentação lateral e escalar privilégios dentro de ambientes AD.

Referencia: https://cybersecuritynews.com/hackers-poisoning-dns-responses/

Comments are closed