Секунды на атаку, месяцы на восстановление. Active Directory беззащитна — когда настройки остаются дефолтными

Resecurity MITM6 NTLM Relay Active Directory Windows RBCD DHCPv6
Секунды на атаку, месяцы на восстановление. Active Directory беззащитна — когда настройки остаются дефолтными
Resecurity MITM6 NTLM Relay Active Directory Windows RBCD DHCPv6

MITM6 и NTLM Relay работают как идеальная пара — один обманывает сеть, другой крадёт личности.

image

Исследователи из компании Resecurity обратили внимание на крайне опасную атаку, которая позволяет получить полный контроль над доменной инфраструктурой Active Directory, используя стандартные настройки Windows. Метод основан на сочетании MITM6 — внедрения поддельной IPv6-конфигурации — и NTLM Relay, при котором перехваченные учётные данные пересылаются на нужные сервисы. Такая комбинация превращает сетевое окружение организации в уязвимое поле, даже если администраторы не используют IPv6 в своей среде.

Уязвимость кроется в том, что Windows-системы автоматически обращаются к DHCPv6 при подключении, и злоумышленники могут внедриться в этот процесс, выдавая себя за фальшивый IPv6-сервер. Через подмену DNS-запросов и протокола WPAD они перенаправляют трафик, захватывают попытки аутентификации и запускают ntlmrelayx из набора Impacket, чтобы передать собранные данные в LDAP. Это создаёт фиктивные компьютерные записи с возможностью имитации привилегированных пользователей.

Ситуацию усугубляют три штатные особенности Active Directory. Во-первых, при старте машины приоритет имеет DHCPv6, что моментально открывает вектор атаки. Во-вторых, любая учётная запись домена по умолчанию вправе зарегистрировать до десяти компьютеров благодаря параметру ms-DS-MachineAccountQuota. В-третьих, сами созданные компьютерные объекты могут менять собственный атрибут msDS-AllowedToActOnBehalfOfOtherIdentity, что делает возможным эксплуатацию механизма RBCD. Всё это даёт злоумышленникам возможность выстраивать эскалацию привилегий вплоть до уровня Domain Admin.

После захвата учётных записей в ход идут инструменты secretsdump.py для выгрузки хэшей паролей и CrackMapExec для массовой проверки украденных комбинаций на доступ к другим системам. Завершающая стадия — удалённое управление через WMIExec или PsExec, которое позволяет закрепиться в инфраструктуре, перемещаться между узлами и сохранять постоянный доступ. В дополнение атакующие могут использовать отравление DNS, чтобы парализовать критические сервисы и усилить разрушительный эффект.

Специалисты предупреждают, что последствия подобных атак катастрофичны: от кражи учётных данных и бокового распространения до внедрения вымогательских программ. Восстановление после полной компрометации домена требует значительных усилий и времени, а при этом злоумышленники могут оставаться в сети, даже если исходный вектор будет заблокирован.

Для защиты эксперты советуют отключать IPv6 в средах, где он не используется, а также внедрять LDAP-подпись и Channel Binding , ограничивать возможность создания машинных учётных записей и внимательно отслеживать подозрительные события DHCP. Дополнительную линию обороны обеспечит сегментация сети, которая ограничит перемещения атакующих. Этот случай подчёркивает, насколько опасно полагаться на стандартные установки Windows и не уделять внимание жёсткой настройке доменной безопасности.