מה זה NTLM Relay - כשתוקף מעביר הלאה ניסיון אימות שלא שייך לו¶
מבין כל הטכניקות לתקיפת Active Directory, NTLM Relay היא אולי זו שהכי מבלבלת מתחילים, כי היא לא דורשת פיצוח סיסמה ולא דורשת גניבת האש קודמת. היא פשוט לוקחת משהו שקורה כל הזמן ברשת - ניסיון אימות - ומפנה אותו למקום אחר. בואו נבין איך.
הבעיה הבסיסית בפרוטוקול NTLM¶
NTLM הוא פרוטוקול אימות ישן של מיקרוסופט, שעדיין רץ ברוב הרשתות הארגוניות מסיבות של תאימות לאחור. הבעיה המרכזית שלו היא שהוא לא מוודא, בדרך כלל, למי בדיוק שולחים את ניסיון האימות. כשמחשב אחד מנסה להתחבר לשירות אחר ברשת, הוא שולח "אתגר" קריפטוגרפי, ומקבל תשובה שמוכיחה זהות - אבל שום דבר בתהליך לא מוודא שהתגובה חוזרת בדיוק לשרת שאליו התכוונו להתחבר.
אז איך תוקף מנצל את זה¶
התרחיש הקלאסי מתחיל בכך שהתוקף גורם למחשב קורבן לנסות להתאמת מולו - למשל דרך קובץ עם הפניה מוסתרת לשרת של התוקף, שנפתח כשמישהו פותח תיקייה משותפת מסוימת, או דרך הרעלת שמות ברשת המקומית (טכניקות כמו LLMNR ו-NBT-NS Poisoning). ברגע שהקורבן מנסה להתאמת מול "השרת" (שהוא בפועל מחשב התוקף), התוקף לא שומר את פרטי ההתחברות לעצמו - הוא מעביר אותם, בזמן אמת, הלאה לשרת אמיתי אחר ברשת שהוא רוצה לתקוף.
מנקודת המבט של השרת שמקבל את ניסיון האימות, זה נראה בדיוק כמו התחברות לגיטימית של המשתמש הקורבן. השרת לא יודע שהאימות עבר "העברה" באמצע. אם למשתמש הקורבן יש הרשאות על השרת המטרה, התוקף עכשיו מחובר בתור אותו משתמש, בלי לדעת סיסמה, בלי לפצח האש, ובלי שום דבר חוץ מהיכולת ליירט ולהעביר תעבורה.
למה זו טכניקה כל כך אפקטיבית¶
מה שהופך NTLM Relay למסוכנת היא הפשטות שלה מבחינת התוקף - היא לא דורשת פיצוח קריפטוגרפי כלשהו, רק את היכולת לגרום למישהו לנסות להתאמת ואת המיקום הנכון ברשת כדי ליירט את זה. וברוב הרשתות הארגוניות, יש הרבה מאוד "רעש" של ניסיונות אימות אוטומטיים בין מחשבים - עדכוני קבוצה, סריקות רשת פנימיות, גיבויים - שנותנים לתוקף המון הזדמנויות ליירוט.
התוצאה יכולה להיות דרמטית - אם ניסיון האימות ששייך תוקף מגיע ממחשב עם הרשאות מנהל, וההעברה מגיעה לשרת רגיש כמו בקר הדומיין עצמו, זה יכול להוביל להשתלטות מלאה על הדומיין, בשילוב עם טכניקות נוספות.
איך מתגוננים מפני זה¶
ההגנה המרכזית היא חתימת SMB (SMB Signing) שמוודאת שהתעבורה לא שונתה או הועברה באמצע, ו-Extended Protection for Authentication שקושר את האימות באופן קריפטוגרפי לחיבור הספציפי שבו הוא בוצע. מיקרוסופט ממליצה על אלה כבר שנים, אבל ביישום בפועל, בגלל חששות תאימות עם מערכות ישנות, הרבה ארגונים עדיין לא הפעילו את ההגנות האלה בכל הרשת, מה שהופך את NTLM Relay לטכניקה שעדיין עובדת מצוין בבדיקות חדירות פנימיות.
איפה זה משתלב בתמונה הגדולה יותר¶
NTLM Relay לא עובדת בוואקום. היא בדרך כלל שלב באמצע שרשרת תקיפה - התחלה מרעלת שמות ברשת, המשך בהעברת אימות למטרה מעניינת, וסיום בניצול ההרשאות שהתקבלו כדי להתקדם עוד יותר עמוק ברשת, לפעמים עד כדי יצירת חשבון מנהל דומיין חדש מאפס.
בקורס בודק חדירות שלי אני מלמד את הטכניקה הזו בהמשך ישיר לפרקים על גניבת NTLM Hashes, כדי שתבינו את כל השרשרת, לא רק שלב בודד מנותק מהקשר.
לסיכום¶
NTLM Relay מזכירה לנו שלא תמיד צריך לפרוץ דלת נעולה - לפעמים מספיק לעמוד באמצע ולהעביר הלאה משהו שכבר קורה. זו טכניקה שמבוססת על הבנה עמוקה של איך פרוטוקולים עובדים ברשת, לא על ניחוש או מזל.
בואו לדבר על טכניקות תקיפת רשת נוספות בקהילה שלנו.