Intercepter Jun 16 2014 at 08:24

Реинкарнация NTLM-relay или как стать администратором домена за 1 минуту

2 min

34K

Information Security*

+27

Comments 16

alexk24 Jun 16 2014 at 08:30

Каким образом можно защититься от этой атаки?
Установить Domain controller: LDAP server signing requirements в «Require signature»? Совместимость с чем в таком случае потеряется? Какие проблемы всплывут?

Intercepter Jun 16 2014 at 08:34

Да. Обязательная подпись пакетов решает все проблемы. Совместимость может потеряться с софтом, который удаленно работает с Active Directory и не умеет подписывать пакеты, но это маловероятно, т.к. большинство ldap клиентов работают через соответствующие API и для них момент авторизации и подписи происходит прозрачно.

vladon Jun 16 2014 at 11:32

Это поломает LDAP-запросы с Linux? Например, с OTRS или Redmine?

Intercepter Jun 16 2014 at 11:35

Столь специфичные вопросы лучше задать гуглу или саппорту озвученных систем.

vladon Jun 16 2014 at 11:37

В общем, проверил на тестовой машине. Да, Linux-клиенты обламываются.

Intercepter Jun 16 2014 at 11:39

Это печально.

realscorp Jun 16 2014 at 11:22

Вот спасибо, полезная информация.

mayorovp Jun 16 2014 at 13:24

А вообще выключить NTLM возможно?

Intercepter Jun 16 2014 at 15:01

Именно «вообще» нет, эта зараза сидит слишком глубоко во всей системе. Можно повысить максимальный уровень безопасности для интранета и отключить Integrated Windows Authentication.

Lefty Jun 16 2014 at 17:09

Возможо — technet.microsoft.com/en-us/library/jj852241%28v=ws.10%29.aspx
А еще можно совсем отказаться от паролей и перевести всех на smart card logon. Но такие меры скорее только на каких-то режимных обьектах применяются.

Intercepter Jun 16 2014 at 17:22

Я говорил об использовании ntlm на клиентах. Даже блокировку ntlm на домене нельзя назвать полным отключением.
Выше уже всплыли проблемы совместимости при включении обязательной подписи LDAP, а уж блокировка NTLM на сервере может вызвать еще больше проблем.

KarasikovSergey Jun 17 2014 at 17:43

Это ж до осени ждать такую красоту! Вычислить админа в сети зачастую не так уж сложно.

Intercepter Jun 17 2014 at 18:00

особенно если ты там работаешь :)

KarasikovSergey Jun 17 2014 at 18:06

У меня интерес пентестера, лишняя утилита для проникновения, да еще такая многообещающая — это просто подарок и значительное увеличение шанса на премию ;)

dmbarsukov Jun 17 2014 at 19:53

как минимум оповещение об изменение группы доменных админов должно приходить на почту. Проблема в том, что если Вас ломают — вы можете не успеть отреагировать.

sandman Jun 18 2014 at 19:10

LDAPS хорошо от mitm помогает