A kiberbiztonsági szakértők egyre nagyobb aggodalommal figyelnek egy olyan összetett támadási technikára, amely ötvözi az IPv6 alapú hálózati visszaéléseket és az NTLM hitelesítési relay módszereket. Az úgynevezett MITM6 + NTLM Relay támadás kihasználja a Windows rendszerek alapértelmezett IPv6 viselkedését és Active Directory konfigurációs hiányosságait, és ezáltal lehetővé teszi teljes tartományi (domain) kompromittálást.

Mi az MITM6 + NTLM Relay támadás?

A támadás alapja, hogy a Windows rendszerek alapértelmezés szerint képesek DHCPv6 információt, még akkor is, ha a hálózatban nem is használnak aktívan IPv6 protokollt. Ezt a viselkedést a támadók ki tudják használni úgy, hogy ál-DHCPv6 szerverként jelennek meg a hálózaton (például a mitm6 eszközzel), és hamis DNS beállításokat osztanak ki a klienseknek.

Ez lehetővé teszi, hogy a támadó:

• Átvegye a DNS-forgalom irányítását
• Futtasson WPAD (Web Proxy Auto-Discovery Protocol) alapú spoofingot
• Lehallgatással és relézéssel megszerezze a hitelesítési adatokat (NTLM hash-eket)
• Relézze ezeket például LDAP vagy SMB szolgáltatások felé, jogosultság emelés céljából

A támadás lépései

1. Ál-DHCPv6 szerver beállítása: A támadó létrehoz egy rogue IPv6 DHCP szervert, amely hamis DNS és WPAD konfigurációt ad a klienseknek.
2. NTLM relay végrehajtása: Az eszközök automatikusan elküldik NTLM hitelesítési kéréseiket a támadó által megadott szervereknek. A támadó ezeket az adatokat ntlmrelayx segítségével egy másik szolgáltatásra irányítja (pl. LDAP), így kihasználja az NTLM relay lehetőségét.
3. Új gépfiók létrehozása: Az NTLM relay során a támadó gépobjektumokat hoz létre az AD-ben, amelyhez alapértelmezetten bármely hitelesített felhasználó jogosult.
4. RBCD (Resource-Based Constrained Delegation) manipulálása: A létrehozott gépfiók saját maga módosíthatja a msDS AllowedToActOnBehalfOfOtherIdentity attribútumot, lehetővé téve, hogy más, magas jogosultságú fiókokat „megszemélyesítsen”.
5. Hitelesítési adatok kinyerése és oldalirányú mozgás: A támadó eszközökkel, mint a secretsdump.py vagy CrackMapExec, jelszó hash-eket és jogosultságokat derít fel, majd távoli vezérléshez WMIExec vagy PsExec segítségével csatlakozik.

Miért ennyire hatékony?

A támadás három kritikus Windows/Active Directory alapértelmezésre épül, amelyeket sok szervezet nem módosít, mivel ezek első ránézésre ártalmatlannak tűnnek:

Ez a konfigurációs „tökéletes vihar” lehetővé teszi, hogy egy támadó akár egy egyszerű felhasználói fiókkal adminisztrátori szintű jogosultságokat szerezzen, és átvegye az irányítást az egész AD környezet felett.

Következmények

A sikeres MITM6 + NTLM Relay támadás katasztrofális következményekkel járhat:

• Teljes domain szintű kompromittálás
• Jelszavak és hitelesítési adatok ellopása
• Oldalirányú mozgás a hálózaton
• Tartós hozzáférés kialakítása
• Rendszerszolgáltatások megbénítása DNS-mérgezéssel
• Ransomware bejuttatásának lehetősége

A támadás után a támadó akár hetekig vagy hónapokig észrevétlenül bent maradhat a hálózatban.

Védekezési javaslatok

A szakértők az alábbi biztonsági intézkedéseket javasolják:

1. IPv6 letiltása, ha nem használják aktívan.
2. LDAP aláírás és csatornakötés (LDAP Signing, Channel Binding) kötelezővé tétele.
3. ms DS MachineAccountQuota értékének 0-ra állítása, vagy a jogosultság korlátozása.
4. RBCD auditálása és jogosultságkezelés szigorítása.
5. DHCP és DNS forgalom monitorozása a hálózatban (pl. rogue DHCP és WPAD források keresése).
6. Hálózati szegmentáció bevezetése a belső laterális mozgások megakadályozása érdekében.

Az MITM6 + NTLM Relay támadási lánc nem új, de azzal, hogy alapértelmezett és gyakran figyelmen kívül hagyott beállításokra épít, rendkívül veszélyes a vállalati infrastruktúrákra nézve. Az Active Directory környezetek „gyári” konfigurációja gyakran megkönnyíti a támadók dolgát, így elengedhetetlen a proaktív biztonsági edzés (hardening) és folyamatos hálózati megfigyelés.

(forrás, forrás)