Альтернатива NTLM-Relay


При проведении внутреннего тестирования на проникновение в сетях Microsoft первостепенной целью атаки, разумеется, является Microsoft Active Directory, а одним из возможных и перспективных сценариев реализации успешной атаки на компьютеры в домене является NTLM-Relay. Суть атаки NTLM-Relay сводится к тому, чтобы вмешаться в процесс аутентификации по протоколу NTLM и получить доступ к стороннему ресурсу с привилегиями атакуемого пользователя. Атака может быть реализована в отношении любого протокола, поддерживающего NTLM-авторизацию (SMB, HTTP, LDAP и т.д.).

Если копнуть несколько глубже в практическую плоскость, тогда можно обнаружить следующие ограничения при проведении атаки NTLM-Relay:

- Невозможность провести атаку в отношении системы, с которой пришел запрос авторизации после установки обновления безопасности MS08-068 (для волосатых осей) или при использовании более поздних версий ОС Windows (ограничение не действует в случае объединения систем в кластер).

- "Ограничение на один хоп", т.е. после успешной атаки в отношении некоторого ресурса, невозможно дальнейшее использование привилегий атакованного пользователя с этого ресурса к смежным компонентам сети (общее ограничение NTLM). Можно провести повторную атаку NTLM-Relay к другому ресурсу, но нельзя использовать полученный токен доступа для развития атаки по сети.

- Рабочий сценарий проведения атаки NTLM-Relay предполагает, что атакуемый пользователь обладает правами администратора на ресурсе, в отношении которого производится атака [1,2]. В противном случае атакующий ограничен функционалом доступных наколенных и зачастую сырых решений, что очень сильно затрудняет его действия.

- NTLM-Relay относится к "шумным" сценариям проведения атаки, что может привлечь внимание соответствующих защитных систем.