A partir da exploração das misconfiguration da AD, uma emissora de certificados, usando o ADSC, Fabricio Gimenes, especialista em cibersegurança, explicou como ataques são possíveis a partir da criação de um domain controller.
É um estudo complexo, que envolve muitas ferramentas e a exploração de oito vulnerabilidades, mas ele apresentou apenas as quatro principais e resumiu para gente aqui o que elas são e o impacto que elas trazem.
Com a exploração dessas misconfiguration é possível conseguir elevação de privilégio para assim criar domínios de controle nos computadores. As vulnerabilidades são duas misconfiguration da ADS e uma CVE reconhecida pela Microsoft, que a empresa reconhece como misconfiguration, mas deixa para o cliente decidir o que fazer com ela.
No Instagram @mentebinaria_, Fabricio explicou pra gente como o ataque funciona:
A primeira misconfiguration são dois passos basicamente: eu peço o certificado como usuário, que não sou eu mesmo, então nesse caso, domain admin, e depois eu solicito o ticket caps pra ele. Ou seja, com esse ticket eu consigo fazer um ataque pass the hash, por exemplo, me tornando um domain admin.
Você precisa de um usuário válido com privilégio comum.
A outro eu tenho um usuário comum, onde eu consigo criar uma máquina, um computador dentro da rede, e consigo tornar ela uma computador domain controller, fazendo a alteração do DNS dela pra domain controller, altero um DNS comum, fgt.computer, pra fgt. computer domain admin, e eu me torno um domain controller. Com isso eu solicito um certificado e também me torno domain controller com ele.
E a última é via NTLM, que é um ataque já conhecido, mas que para esse tipo de exploração não tem nenhum tipo de detecção.
A partir do momento em que eu me torno um domain admin, eu consigo me tornar um manager dessa CA, e aí é uma outra base de exploração. No meu ponto de vista é uma persistência de misconfiguration, porque para se tornar um manager você tem que ser domain admin.
Legal né? Parabéns, Fabrício! 😎
Comentários Recomendados
Não há comentários para mostrar.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.