Vykrádanie hesiel z Active Directory na diaľku

3. augusta 2015 | Michael Grafnetter

Predstavujem Vám príkaz Get-ADReplAccount, najnovší prírastok do môjho PowerShell modulu DSInternals, ktorý umožňuje z doménových kontrolérov na diaľku získať plaintextové heslá, hashe hesiel a Kerberos kľúče všetkých používateľov. Toho dosahuje tým, že simuluje chovanie príkazu dcromo a cez protokol MS-DRSR si vytvorí repliku všetkých dát v Active Directory databáze. Podľa mojich informácií sa jedná o jediný verejne dostupný nástroj svojho druhu na svete. Ďalej má tieto vlastnosti:

  • Ku svojej činnosti nevyžaduje ani práva doménového správcu. Bohate si vystačí s oprávnením Replicating Directory Changes All, ktoré má napríklad DirSync, Cisco WAAS či zle nakonfigurovaný SharePoint.
  • Otvára dvere dokorán ďalším útokom, ako sú pass-the-hash, pass-the-ticket či PAC spoofing, pomocou ktorých je útočník schopný dostať pod kontrolu celý Active Directory forest. Takéto útoky zvláda napríklad nástroj mimikatz.
  • Nedá sa zablokovať pomocou firewallu, pretože by to obmedzilo základnú funkčnosť Active Directory.
  • V logoch na doménovom radiči zanecháva len minimálnu stopu, ktorú prehliadne väčšina bezpečnostných auditov.
  • Nezneužíva žiadnu bezpečnostnú zraniteľnosť, ktorá by sa dala jednoducho opraviť v rámci aktualizácie systému.
  • Jeho použitie nevyžaduje žiadne špeciálne vedomosti či prípravu. Útočníkovi stačí základná znalosť Active Directory.

Príklad použitia:

Ukážkový výstup:

Potenciál tohoto útoku je teda veľký a mal by si toho byť minimálne vedomý každý manažér bezpečnosti a správca Active Directory.

Ak chcete tento aj ďalšie druhy hackerských útokov na AD vidieť naživo a dozvedieť sa, ako sa proti nim brániť, nenechajte si ujsť moju prednášku Offline a online útoky na Active Directory databázu na tohtoročnom HackerFeste. Ja sám sa teším na prednášky Ondřeja ŠevečkaWilliama Ischanoeho. A pokiaľ si ma „odchytíte“ medzi prednáškami, rád sa s Vami porozprávam pri kávičke, nielen o bezpečnosti Active Directory.


Tags: , , ,

2 comments on “Vykrádanie hesiel z Active Directory na diaľku

  1. runco píše:

    Replicating Directory Changes All je uz sam o sebe problem. O Cisco WAAS netusim, ale DirSync je tusim nahradeny novym nastrojom (aj kvoli dalsim bezpecnostnym problemom ako spomenute extended permissions, AdminSDHolder,..) a Sharepoint nema co pouzivat Replication Directory Changes All (ale to je uz ina rozpravka). Dobru noc 😉

  2. Michael Grafnetter píše:

    Aj ten novy nastroj, ktorym je DirSync nahradeny, funguje v tejto veci rovnako.
    Viem, ze SP tieto prava nepotrebuje, ale povedzte to autorovi certifikacnej prirucky k SP 2010, z ktorej cerpa aj hromada diskutujucich na diskusnych forach. Realita je taka, ze mnohi to maju chybne nakonfigurovane.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.