Drodzy Administratorzy!
W dzisiejszym odcinku chcemy pokazać Wam pewną „ciekawostkę”, przygotowaną przez nikomu nieznaną firmę z Redmond.
– Co to za „ciekawostka”?
– Alternatywa dla protokołu DNS.
Jak się okazuje sam pomysł jest dobry, ale wykonanie już niekoniecznie. Co ciekawe, ta alternatywa jest domyślnie włączona w Waszych środowiskach ActiveDirectory, jako rozwiązanie zastępcze dla protokołu DNS.
– Chcecie wiedzieć o co chodzi?
– No to patrzcie. Mamy taką oto prostą architekturę sieciową:
1. Na Komputerze Atakującego uruchamiamy następującą komendę:
2. Na komputerze użytkownika otwieramy dostęp do dowolnego udziału sieciowego:
3. Na komputerze atakującego otrzymujemy:
4. Bum! Mamy hash NTLMv2 hasła Administratora Domeny!
5. Uruchamiamy narzędzie:
6. Otrzymaliśmy poświadczenia Administratora Domeny.
Pamiętajcie:
Protokół LLMNR jest domyślnie włączony we wszystkich sieciach zawierających ActiveDirectory. Jeśli nie korzystacie w swoich środowiskach z funkcjonalności Multicast Name Resolution oraz WINS wyłączcie oba poprzez odpowiednio skonfigurowaną politykę GPO. Jeśli nie możecie tego zrobić, wdróżcie zarządzanie dostępem do Waszych sieci poprzez funkcjonalność Network Access Control oraz zadbajcie o politykę silnych haseł na kontach ActiveDirectory. A najlepiej jedno i drugie.
#NAC, #ActiveDirectory, #LLMNR, #LLMNRPoisoning, #Multicast, #Monitoring