Intercepter 16 июн 2014 в 08:24

Реинкарнация NTLM-relay или как стать администратором домена за 1 минуту

2 мин

34K

Информационная безопасность*

+27

Комментарии 16

alexk24 16 июн 2014 в 08:30

Каким образом можно защититься от этой атаки?
Установить Domain controller: LDAP server signing requirements в «Require signature»? Совместимость с чем в таком случае потеряется? Какие проблемы всплывут?

Intercepter 16 июн 2014 в 08:34

Да. Обязательная подпись пакетов решает все проблемы. Совместимость может потеряться с софтом, который удаленно работает с Active Directory и не умеет подписывать пакеты, но это маловероятно, т.к. большинство ldap клиентов работают через соответствующие API и для них момент авторизации и подписи происходит прозрачно.

vladon 16 июн 2014 в 11:32

Это поломает LDAP-запросы с Linux? Например, с OTRS или Redmine?

Intercepter 16 июн 2014 в 11:35

Столь специфичные вопросы лучше задать гуглу или саппорту озвученных систем.

vladon 16 июн 2014 в 11:37

В общем, проверил на тестовой машине. Да, Linux-клиенты обламываются.

Intercepter 16 июн 2014 в 11:39

Это печально.

realscorp 16 июн 2014 в 11:22

Вот спасибо, полезная информация.

mayorovp 16 июн 2014 в 13:24

А вообще выключить NTLM возможно?

Intercepter 16 июн 2014 в 15:01

Именно «вообще» нет, эта зараза сидит слишком глубоко во всей системе. Можно повысить максимальный уровень безопасности для интранета и отключить Integrated Windows Authentication.

Lefty 16 июн 2014 в 17:09

Возможо — technet.microsoft.com/en-us/library/jj852241%28v=ws.10%29.aspx
А еще можно совсем отказаться от паролей и перевести всех на smart card logon. Но такие меры скорее только на каких-то режимных обьектах применяются.

Intercepter 16 июн 2014 в 17:22

Я говорил об использовании ntlm на клиентах. Даже блокировку ntlm на домене нельзя назвать полным отключением.
Выше уже всплыли проблемы совместимости при включении обязательной подписи LDAP, а уж блокировка NTLM на сервере может вызвать еще больше проблем.

KarasikovSergey 17 июн 2014 в 17:43

Это ж до осени ждать такую красоту! Вычислить админа в сети зачастую не так уж сложно.

Intercepter 17 июн 2014 в 18:00

особенно если ты там работаешь :)

KarasikovSergey 17 июн 2014 в 18:06

У меня интерес пентестера, лишняя утилита для проникновения, да еще такая многообещающая — это просто подарок и значительное увеличение шанса на премию ;)

dmbarsukov 17 июн 2014 в 19:53

как минимум оповещение об изменение группы доменных админов должно приходить на почту. Проблема в том, что если Вас ломают — вы можете не успеть отреагировать.

sandman 18 июн 2014 в 19:10

LDAPS хорошо от mitm помогает

Зарегистрируйтесь на Хабре, чтобы оставить комментарий